Trojaner TR/Crypt.ZPACK.Gen mit Antivir. gefunden.

#0
17.06.2010, 21:35
Member

Beiträge: 19
#1 Hallo zusammen,

ich habe seit drei Tagen den Trojaner TR/Crypt.Zpack.Gen auf dem Rechner. Der Trojaner wurde durch Antivir entdeckt und läßt sich nicht löschen. Bis jetzt wirkt sich der Trojaner so auf das System aus, daß es fast unmöglich ist zu arbeiten. Der Rechner ist sehr langsam geworden.

Hier mal die Reportdatei von Antivir:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 16. Juni 2010 08:13

Es wird nach 2217596 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : METE

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 21.11.2009 23:45:50
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 23:45:50
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 23:45:50
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 07:09:08
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:13:06
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 21:35:06
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:15:39
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 19:56:32
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 19:56:32
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 19:56:32
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 19:56:32
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 19:56:32
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 19:56:32
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 19:56:33
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 20:04:09
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 04:02:47
VBASE015.VDF : 7.10.8.70 2048 Bytes 14.06.2010 04:02:47
VBASE016.VDF : 7.10.8.71 2048 Bytes 14.06.2010 04:02:47
VBASE017.VDF : 7.10.8.72 2048 Bytes 14.06.2010 04:02:47
VBASE018.VDF : 7.10.8.73 2048 Bytes 14.06.2010 04:02:47
VBASE019.VDF : 7.10.8.74 2048 Bytes 14.06.2010 04:02:48
VBASE020.VDF : 7.10.8.75 2048 Bytes 14.06.2010 04:02:48
VBASE021.VDF : 7.10.8.76 2048 Bytes 14.06.2010 04:02:48
VBASE022.VDF : 7.10.8.77 2048 Bytes 14.06.2010 04:02:48
VBASE023.VDF : 7.10.8.78 2048 Bytes 14.06.2010 04:02:48
VBASE024.VDF : 7.10.8.79 2048 Bytes 14.06.2010 04:02:49
VBASE025.VDF : 7.10.8.80 2048 Bytes 14.06.2010 04:02:49
VBASE026.VDF : 7.10.8.81 2048 Bytes 14.06.2010 04:02:49
VBASE027.VDF : 7.10.8.82 2048 Bytes 14.06.2010 04:02:49
VBASE028.VDF : 7.10.8.83 2048 Bytes 14.06.2010 04:02:49
VBASE029.VDF : 7.10.8.84 2048 Bytes 14.06.2010 04:02:50
VBASE030.VDF : 7.10.8.85 2048 Bytes 14.06.2010 04:02:50
VBASE031.VDF : 7.10.8.94 86528 Bytes 15.06.2010 05:02:54
Engineversion : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 21:34:25
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 03.06.2010 19:57:20
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 14:21:34
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 21:34:26
AERDL.DLL : 8.1.4.6 541043 Bytes 18.04.2010 20:15:58
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 22:41:02
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13.05.2010 14:21:33
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 04.06.2010 20:03:59
AEHELP.DLL : 8.1.11.5 242038 Bytes 03.06.2010 19:56:46
AEGEN.DLL : 8.1.3.10 377205 Bytes 03.06.2010 19:56:42
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 21:34:21
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 14:21:29
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 21:34:19
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 01.11.2009 21:38:21
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 21:04:51
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 21.11.2009 23:45:49

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 16. Juni 2010 08:13

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\alsqhcc\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\alsqhcc\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\alsqhcc\errorcontrol
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\alsqhcc\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\alsqhcc\yy4jr2w2wt5
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\alsqhcc\nu3wjh
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\alsqhcc\d6k3hu6gc
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '35818' Objekte überprüft, '7' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HelpSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AirTies_util3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Metin\Startmenü\Programme\Autostart\siszpe32.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\alsqhcc.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Lokaler Datenträger>

Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\alsqhcc.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c8b8dd7.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 16. Juni 2010 10:39
Benötigte Zeit: 1:49:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

4896 Verzeichnisse wurden überprüft
164277 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
164273 Dateien ohne Befall
882 Archive wurden durchsucht
3 Warnungen
2 Hinweise
35818 Objekte wurden beim Rootkitscan durchsucht
7 Versteckte Objekte wurden gefunden


Desweiteren habe ich hijack this laufen lassen und liste unten den logfile auf:


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:01:12, on 17.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Dokumente und Einstellungen\Metin\Desktop\HiJackThis204.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: siszpe32.exe
O4 - Global Startup: AirTies ADSL Hizmet Programý.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 5026 bytes


Da ich mich nicht gut aus kenne möchte ich mich an euch wenden. Ich hoffe Ihr könnt mir weiterhelfen.

Schon mal vielen Dank für die Antworten.

MfG
Seitenanfang Seitenende
17.06.2010, 23:32
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Malwarebytes Anti-Malware

Lade MBAM herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu

Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
18.06.2010, 17:18
Member

Themenstarter

Beiträge: 19
#3 Hallo Swiss,

vielen Dank für die schnelle Antwort!!!

1. Malwarebytes hat zwei Infizierungen entdeckt, die ich dann auch gelöscht habe. Seidem ist die Rechnergeschwindigkeit wieder OK.

Code

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4210

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

18.06.2010 01:33:54
mbam-log-2010-06-18 (01-33-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 159148
Laufzeit: 2 Stunde(n), 25 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\alsqhcc.sys (Backdoor.IEbooot) -> No action taken.
C:\Dokumente und Einstellungen\Metin\Startmenü\Programme\Autostart\siszpe32.exe (Trojan.Agent) -> No action taken.


2. Hier dann noch die beiden logfiles von OTL:

Code

OTL logfile created on: 18.06.2010 14:44:41 - Run 1
OTL by OldTimer - Version 3.2.6.0     Folder = C:\Dokumente und Einstellungen\Metin\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

502.00 Mb Total Physical Memory | 298.00 Mb Available Physical Memory | 59.00% Memory free
1.00 Gb Paging File | 1.00 Gb Available in Paging File | 81.00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39.06 Gb Total Space | 28.57 Gb Free Space | 73.15% Space Free | Partition Type: NTFS
Drive D: | 72.72 Gb Total Space | 70.42 Gb Free Space | 96.84% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: METE
Current User Name: Metin
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Metin\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - c:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
PRC - C:\Programme\Launch Manager\HotkeyApp.exe (Wistron)
PRC - C:\Programme\Launch Manager\WButton.exe ()
PRC - C:\Programme\Launch Manager\LaunchAp.exe ()
PRC - C:\Programme\Launch Manager\ctrlvol.exe ()


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Metin\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcInj.dll (Logitech Inc.)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (LVSrvLauncher) -- C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe (Logitech Inc.)
SRV - (LVPrcSrv) -- c:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (cs429x) -- C:\WINDOWS\system32\drivers\cwawdm.sys (Applied Drivers Corporation)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (LVPr2Mon) -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys ()
DRV - (LVMVDrv) -- C:\WINDOWS\system32\drivers\LVMVdrv.sys (Logitech Inc.)
DRV - (LVcKap) -- C:\WINDOWS\system32\drivers\Lvckap.sys ()
DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.)
DRV - (PID_PEPI) Logitech QuickCam IM(PID_PEPI) -- C:\WINDOWS\system32\drivers\LV302V32.SYS (Logitech Inc.)
DRV - (pepifilter) -- C:\WINDOWS\system32\drivers\lv302af.sys (Logitech Inc.)
DRV - (NSCIRDA) -- C:\WINDOWS\system32\drivers\nscirda.sys (National Semiconductor Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (DgiVecp) -- C:\WINDOWS\system32\drivers\DgivEcp.sys (DeviceGuys, Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)
DRV - (Hotkey) -- C:\WINDOWS\system32\drivers\HOTKEY.sys ()
DRV - (Wbutton) -- C:\WINDOWS\system32\drivers\Wbutton.sys ()
DRV - (QV2KUX) -- C:\WINDOWS\system32\drivers\qv2kux.sys (Microsoft Corporation)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



O1 HOSTS File: ([2010.06.16 07:54:31 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CtrlVol] C:\Programme\Launch Manager\ctrlvol.exe ()
O4 - HKLM..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe ()
O4 - HKLM..\Run: [Wbutton] C:\Programme\Launch Manager\Wbutton.exe ()
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AirTies ADSL Hizmet Programý.lnk = C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\NPJPI150.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Angler.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Angler.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.03.27 11:23:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.06.18 06:41:07 | 000,572,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metin\Desktop\OTL.exe
[2010.06.17 23:04:24 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Metin\Recent
[2010.06.17 22:54:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metin\Anwendungsdaten\Malwarebytes
[2010.06.17 22:50:19 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.06.17 22:49:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.06.17 22:49:58 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.06.17 22:49:57 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.06.17 22:47:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metin\Desktop\Malwarebytes146
[2010.06.17 21:58:15 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Metin\Desktop\HiJackThis204.exe
[2010.06.17 00:09:54 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.06.16 08:02:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.06.16 07:13:34 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.06.15 22:48:00 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.06.15 22:48:00 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.06.15 22:47:59 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.06.15 22:47:59 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.06.15 22:47:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.06.15 22:41:38 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.06.15 22:25:58 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2010.06.15 21:25:47 | 000,000,000 | ---D | C] -- C:\Programme\Enigma Software Group
[2010.06.15 21:23:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
[2010.06.15 21:23:21 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2010.06.09 18:44:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metin\Desktop\TBMM
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.06.18 14:47:22 | 000,772,096 | ---- | M] () -- C:\WINDOWS\System32\drivers\alsqhcc.sys
[2010.06.18 14:40:05 | 000,284,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Gmer-setup.rar
[2010.06.18 14:36:20 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.06.18 14:03:11 | 000,001,014 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.06.18 14:03:07 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.06.18 14:03:00 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.18 14:02:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.18 10:57:36 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\Metin\NTUSER.DAT
[2010.06.18 10:57:36 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Metin\ntuser.ini
[2010.06.18 06:41:15 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metin\Desktop\OTL.exe
[2010.06.18 06:39:02 | 000,027,648 | ---- | M] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Schrittweise abarbeiten.doc
[2010.06.17 22:50:24 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.17 21:58:29 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Metin\Desktop\HiJackThis204.exe
[2010.06.17 20:09:14 | 000,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Birce Bebe hesap.xls
[2010.06.16 13:36:49 | 000,002,235 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010.06.16 07:55:36 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.06.16 07:54:31 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.06.16 07:13:42 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.06.15 22:40:11 | 003,712,146 | R--- | M] () -- C:\Dokumente und Einstellungen\Metin\Desktop\ComboFix.exe
[2010.06.10 05:51:04 | 000,126,112 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.05.19 22:54:16 | 000,001,887 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.06.18 14:40:04 | 000,284,950 | ---- | C] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Gmer-setup.rar
[2010.06.18 06:39:02 | 000,027,648 | ---- | C] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Schrittweise abarbeiten.doc
[2010.06.17 22:50:24 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.16 07:13:42 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.06.16 07:13:38 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.06.15 22:48:00 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.06.15 22:48:00 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.06.15 22:47:59 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.06.15 22:47:59 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.06.15 22:47:59 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.06.15 22:40:11 | 003,712,146 | R--- | C] () -- C:\Dokumente und Einstellungen\Metin\Desktop\ComboFix.exe
[2010.06.15 08:58:44 | 000,772,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\alsqhcc.sys
[2010.06.15 08:57:27 | 000,000,012 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\qcopjv.dat
[2010.05.29 21:59:46 | 000,022,016 | ---- | C] () -- C:\Dokumente und Einstellungen\Metin\Desktop\Birce Bebe hesap.xls
[2010.05.19 22:54:15 | 000,001,887 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.03.14 21:48:49 | 000,008,843 | ---- | C] () -- C:\WINDOWS\System32\drivers\HOTKEY.sys
[2010.03.14 21:48:49 | 000,002,920 | ---- | C] () -- C:\WINDOWS\System32\drivers\WBUTTON.sys
[2008.05.08 22:15:26 | 000,050,127 | R--- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2008.05.07 10:06:37 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.04.16 12:28:59 | 000,000,117 | ---- | C] () -- C:\WINDOWS\groupwar.ini
[2008.04.16 12:28:56 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\W2KUSBIF.DLL
[2008.04.16 12:28:56 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\spusbif.dll
[2008.04.16 12:28:56 | 000,001,593 | ---- | C] () -- C:\WINDOWS\System32\portex16.dll
[2008.04.16 12:28:48 | 000,118,784 | ---- | C] () -- C:\WINDOWS\dll2kusb.dll
[2008.04.16 12:28:48 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\USBPRN.DLL
[2008.04.16 12:28:47 | 000,135,104 | ---- | C] () -- C:\WINDOWS\Tab16d20.dll
[2008.04.16 12:28:47 | 000,118,784 | ---- | C] () -- C:\WINDOWS\DLL32.DLL
[2008.04.16 12:28:47 | 000,048,176 | ---- | C] () -- C:\WINDOWS\Imp16d20.dll
[2008.04.16 12:28:47 | 000,028,672 | ---- | C] () -- C:\WINDOWS\UninFolder.dll
[2008.04.16 12:28:47 | 000,028,672 | ---- | C] () -- C:\WINDOWS\SSTHUNK.DLL
[2008.04.16 12:28:47 | 000,012,800 | ---- | C] () -- C:\WINDOWS\SS16FT.DLL
[2008.04.16 12:28:47 | 000,011,079 | ---- | C] () -- C:\WINDOWS\LxUsbOpn.dll
[2008.04.16 12:28:47 | 000,002,770 | ---- | C] () -- C:\WINDOWS\SSDS32.INI
[2008.04.16 12:28:47 | 000,002,767 | ---- | C] () -- C:\WINDOWS\SSDEF32.INI
[2008.04.16 12:28:47 | 000,002,554 | ---- | C] () -- C:\WINDOWS\SSDS16.INI
[2008.04.16 12:28:47 | 000,002,478 | ---- | C] () -- C:\WINDOWS\ssnew05.ini
[2008.04.16 12:28:47 | 000,002,478 | ---- | C] () -- C:\WINDOWS\ssnew04.ini
[2008.04.16 12:28:47 | 000,002,477 | ---- | C] () -- C:\WINDOWS\ssnew01.ini
[2008.04.16 12:28:47 | 000,002,474 | ---- | C] () -- C:\WINDOWS\ssnew03.ini
[2008.04.16 12:28:47 | 000,002,474 | ---- | C] () -- C:\WINDOWS\ssnew02.ini
[2008.04.16 12:28:47 | 000,002,267 | ---- | C] () -- C:\WINDOWS\SSDEF16.INI
[2008.04.16 12:28:47 | 000,001,593 | ---- | C] () -- C:\WINDOWS\PORTEX16.DLL
[2008.04.16 12:28:47 | 000,000,272 | ---- | C] () -- C:\WINDOWS\MyScan.ini
[2008.04.16 12:27:59 | 000,007,889 | ---- | C] () -- C:\WINDOWS\System32\ssUsbW2k.dll
[2008.03.27 11:56:33 | 000,157,696 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2008.03.27 11:56:31 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
[2008.03.27 11:49:28 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.03.27 11:39:58 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[2008.03.27 11:26:22 | 000,001,082 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2007.02.06 17:45:04 | 000,025,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys
[2007.02.06 17:42:40 | 001,691,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\Lvckap.sys
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
< End of report >



Code

OTL Extras logfile created on: 18.06.2010 14:44:41 - Run 1
OTL by OldTimer - Version 3.2.6.0     Folder = C:\Dokumente und Einstellungen\Metin\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

502.00 Mb Total Physical Memory | 298.00 Mb Available Physical Memory | 59.00% Memory free
1.00 Gb Paging File | 1.00 Gb Available in Paging File | 81.00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39.06 Gb Total Space | 28.57 Gb Free Space | 73.15% Space Free | Partition Type: NTFS
Drive D: | 72.72 Gb Total Space | 70.42 Gb Free Space | 96.84% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: METE
Current User Name: Metin
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\livecall.exe" = C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- File not found

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft Games\Age of Empires II The Conquerors Expansion Trial\age2_x1t.exe" = C:\Programme\Microsoft Games\Age of Empires II The Conquerors Expansion Trial\age2_x1t.exe:*:Enabled:Age of Empires II Expansion -- (Microsoft Corporation)
"C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0D2EDE81-878F-400D-A5C3-3EC445F47750}" = Samsung SCX-4x16 Series (TWAIN)
"{1CE06390-46D0-11D6-8578-006008CA5356}" = SmarThru
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35725FBC-A136-4A46-9F29-091759D9BB93}" = MVision
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.6
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver
"{91130407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Basic Edition 2003
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81000000003}" = Adobe Reader 8.1.0 - Deutsch
"{BEF726DD-4037-4214-8C6A-E625C02D2870}" = Logitech Audio Echo Cancellation Component
"{C8B6F873-C0BA-413A-9F99-349A48AEA738}" = Logitech QuickCam
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.0.8
"{D7EED707-41D5-434B-A8AE-620558AF1667}" = Winbond SmartIO Driver
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EA516024-D84D-41F1-814F-83175A6188F2}" = Logitech Video Enumerator
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{FCA6A663-110C-40C6-B085-9C2469923326}" = Fernbedienungsfenster
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Age of Empires II: The Conquerors Expansion Trial" = Microsoft Age of Empires II: The Conquerors Expansion Trial
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem
"AirTies ADSL Hizmet Programý_is1" = AirTies ADSL Hizmet Programý 4.2.6.0
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"[url="http://www.ccleaner.de"]CCleaner[/url]" = [url="http://www.ccleaner.de"]CCleaner[/url] (remove only)
"Google Updater" = Google Updater
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"QcDrv" = Logitech® Camera-Treiber
"Samsung SCX-4x16 Series" = Samsung SCX-4x16 Series
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TeamViewer 5" = TeamViewer 5
"WIC" = Windows Imaging Component
"Winamp" = Winamp (remove only)
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"WinRAR archiver" = WinRAR archiver

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 16.06.2010 04:46:32 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 16.06.2010 04:46:36 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 17.06.2010 00:45:59 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 17.06.2010 03:21:36 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 17.06.2010 11:44:02 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 17.06.2010 14:03:38 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 17.06.2010 19:37:48 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 17.06.2010 23:58:28 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 18.06.2010 03:50:25 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

Error - 18.06.2010 08:03:32 | Computer Name = METE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben.  .

[ System Events ]
Error - 15.06.2010 13:40:55 | Computer Name = METE | Source = w29n51 | ID = 5005
Description = Intel(R) PRO/Wireless 2200BG Network Connection : Interner Fehler
aufgetreten.

Error - 15.06.2010 15:55:38 | Computer Name = METE | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.2.21 über die
   Netzwerkkarte mit der Netzwerkadresse 000E351D05CA ist verloren gegangen.

Error - 15.06.2010 15:55:43 | Computer Name = METE | Source = ipnathlp | ID = 32003
Description = Der Übersetzer für Netzwerkadressen (NAT) konnte  keine Anfrage des
Übersetzungsmoduls des Kernelmodus stellen.  Möglicherweise liegen eine falsche Konfiguration,
unzureichende Ressourcen oder  ein interner Fehler vor.  Die Daten enthalten den Fehlercode.

Error - 15.06.2010 16:41:24 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Process Monitor" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 15.06.2010 18:20:07 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Windows User Mode Driver Framework" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.

Error - 16.06.2010 01:06:05 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Process Monitor" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 16.06.2010 01:19:29 | Computer Name = METE | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.2.22 über die
   Netzwerkkarte mit der Netzwerkadresse 000AE4259C0B ist verloren gegangen.

Error - 16.06.2010 18:21:08 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Windows-Bilderfassung (WIA)" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.

Error - 16.06.2010 18:21:16 | Computer Name = METE | Source = Service Control Manager | ID = 7034
Description = Dienst "Windows User Mode Driver Framework" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.

Error - 17.06.2010 19:37:27 | Computer Name = METE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   IntelIde


< End of report >



3. Zum Schluß noch das Ergebnis von GMER:

Code

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-18 16:12:30
Windows 5.1.2600 Service Pack 2
Running: kdqmv7y2.exe; Driver: C:\DOKUME~1\Metin\LOKALE~1\Temp\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT            F8B6B16E                                                                                                                                ZwCreateKey
SSDT            F8B6B164                                                                                                                                ZwCreateThread
SSDT            F8B6B173                                                                                                                                ZwDeleteKey
SSDT            F8B6B17D                                                                                                                                ZwDeleteValueKey
SSDT            F8B6B182                                                                                                                                ZwLoadKey
SSDT            F8B6B150                                                                                                                                ZwOpenProcess
SSDT            F8B6B155                                                                                                                                ZwOpenThread
SSDT            F8B6B18C                                                                                                                                ZwReplaceKey
SSDT            F8B6B187                                                                                                                                ZwRestoreKey
SSDT            F8B6B178                                                                                                                                ZwSetValueKey
SSDT            F8B6B15F                                                                                                                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           alsqhcc.sys                                                                                                                             F8420000 16 Bytes  JMP F843EBAE alsqhcc.sys
.text           alsqhcc.sys                                                                                                                             F8420012 94 Bytes  [FF, 35, 0B, 03, 42, F8, 8F, ...]
.text           alsqhcc.sys                                                                                                                             F8420071 39 Bytes  [00, F6, C2, F2, 84, DD, 68, ...]
.text           alsqhcc.sys                                                                                                                             F8420099 369 Bytes  JMP F8420676 alsqhcc.sys
.text           alsqhcc.sys                                                                                                                             F842020B 222 Bytes  [74, 24, 1C, 8F, 45, 00, 68, ...]
.text           ...                                                                                                                                    
?               C:\WINDOWS\system32\drivers\alsqhcc.sys                                                                                                 Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE            Ntfs.sys                                                                                                                                F82F3C55 4 Bytes  CALL 8239BCC1

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\Explorer.EXE[1520] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                                               [01522EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\Explorer.EXE[1520] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                                      [01522C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\Explorer.EXE[1520] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                                    [01522C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\Explorer.EXE[1520] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                                          [01522C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\AGRSMMSG.exe[1840] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                                               [00A12EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\AGRSMMSG.exe[1840] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                                      [00A12C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\AGRSMMSG.exe[1840] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                                    [00A12C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\AGRSMMSG.exe[1840] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                                          [00A12C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\DOKUME~1\Metin\LOKALE~1\Temp\Rar$EX00.913\kdqmv7y2.exe[2032] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]             [00802EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\DOKUME~1\Metin\LOKALE~1\Temp\Rar$EX00.913\kdqmv7y2.exe[2032] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]    [00802C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\DOKUME~1\Metin\LOKALE~1\Temp\Rar$EX00.913\kdqmv7y2.exe[2032] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                  [00802C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\DOKUME~1\Metin\LOKALE~1\Temp\Rar$EX00.913\kdqmv7y2.exe[2032] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]        [00802C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2056] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                          [003E2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2056] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                 [003E2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2056] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                               [003E2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2056] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                     [003E2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\LaunchAp.exe[2092] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                              [00A12EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\LaunchAp.exe[2092] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                     [00A12C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\LaunchAp.exe[2092] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                   [00A12C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\LaunchAp.exe[2092] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                         [00A12C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\HotkeyApp.exe[2112] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                             [00A02EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\HotkeyApp.exe[2112] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                    [00A02C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\HotkeyApp.exe[2112] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                  [00A02C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\HotkeyApp.exe[2112] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                        [00A02C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\CtrlVol.exe[2156] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                               [009E2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\CtrlVol.exe[2156] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                      [009E2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\CtrlVol.exe[2156] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                    [009E2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\CtrlVol.exe[2156] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                          [009E2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\Wbutton.exe[2192] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                               [009F2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\Wbutton.exe[2192] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                      [009F2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\Wbutton.exe[2192] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                    [009F2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\Launch Manager\Wbutton.exe[2192] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                          [009F2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\system32\ctfmon.exe[2336] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                                        [009C2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\system32\ctfmon.exe[2336] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                               [009C2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\system32\ctfmon.exe[2336] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                             [009C2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\WINDOWS\system32\ctfmon.exe[2336] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                                   [009C2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe[2424] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]           [003E2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe[2424] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]  [003E2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe[2424] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                [003E2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\AirTies\ADSL Hizmet Programý\AirTies_util3.exe[2424] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]      [003E2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\WinRAR\WinRAR.exe[3856] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                                        [00A92EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\WinRAR\WinRAR.exe[3856] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                               [00A92C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\WinRAR\WinRAR.exe[3856] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                             [00A92C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\Programme\WinRAR\WinRAR.exe[3856] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                                   [00A92C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\DOKUME~1\Metin\LOKALE~1\Temp\Rar$EX00.023\kdqmv7y2.exe[3964] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]             [00802EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\DOKUME~1\Metin\LOKALE~1\Temp\Rar$EX00.023\kdqmv7y2.exe[3964] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]    [00802C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\DOKUME~1\Metin\LOKALE~1\Temp\Rar$EX00.023\kdqmv7y2.exe[3964] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                  [00802C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT             C:\DOKUME~1\Metin\LOKALE~1\Temp\Rar$EX00.023\kdqmv7y2.exe[3964] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]        [00802C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                                  82314438

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                 mouclass.sys (Mausklassentreiber/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service          (*** hidden *** )                                                                                                                      [BOOT] alsqhcc                                                                                                   <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\alsqhcc@Type                                                                                     1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\alsqhcc@Start                                                                                    0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\alsqhcc@ErrorControl                                                                             0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\alsqhcc@Group                                                                                    Boot Bus Extender
Reg             HKLM\SYSTEM\ControlSet002\Services\alsqhcc@Type                                                                                         1
Reg             HKLM\SYSTEM\ControlSet002\Services\alsqhcc@Start                                                                                        0
Reg             HKLM\SYSTEM\ControlSet002\Services\alsqhcc@ErrorControl                                                                                 0
Reg             HKLM\SYSTEM\ControlSet002\Services\alsqhcc@Group                                                                                        Boot Bus Extender

---- EOF - GMER 1.0.15 ----



Warte dann mal auf Deine Antwort...

Viele Grüße
Seitenanfang Seitenende
18.06.2010, 17:34
Moderator

Beiträge: 5694
#4 Leider eine schlechte Antwort:

Backdoor Warnung

Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.

Zitat

Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit
Seitenanfang Seitenende
18.06.2010, 19:27
Member

Themenstarter

Beiträge: 19
#5 Hallo Swiss,

ich möchte gerne eine Bereinigung durchführen, obwohl die Aussichten nicht so rosig sind. Ich möchte es aber probieren.

Vielen Dank vorweg für Deine Hilfe.

Viele Grüße
Seitenanfang Seitenende
18.06.2010, 19:56
Member

Themenstarter

Beiträge: 19
#6 Hallo Swiss,

könnte man den Versuch mit spyware doctor starten???

http://www.pctools.com/de/spyware-doctor/?ref=google_de&gclid=CN6lyfiZqqICFYdh4wodky24QA

Viele Grüße.
Seitenanfang Seitenende
18.06.2010, 20:51
Moderator

Beiträge: 5694
#7 Schritt 1

Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.

Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6 Update 20) von SUN. Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den Button "Continue" klicken. Dort die jre-6u20-windows-i586.exe downloaden und anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren.

Schritt 2

Lade den Avenger herunter und entzippe ihn auf den Desktop. Nicht gezippt direkt als EXE ist der Avenger hier erhältlich.

Starte die avenger.exe durch Doppelklick und akzeptiere mit OK die Nutzungsbedingungen. Füge den Inhalt der folgenden Codebox vollständig und unverändert bei "Input script here" ein und klicke auf "Execute". Beantworte die Frage, ob Du sicher bist, dass das Skript ausgeführt werden soll mit "Ja".

Code


Drivers to disable:
alsqhcc
alsqhcc.sys

Drivers to delete:
alsqhcc
alsqhcc.sys

Files to delete:
C:\WINDOWS\System32\drivers\alsqhcc.sys


Beantworte die Frage zum Neustart des Rechners (Reboot now?) ebenfalls mit "Ja". Nachdem der Rechner neu gestartet ist (das kann auch zweimal nötig sein und passieren!) und das DOS-Fenster, das der Avenger geöffnet hat, wieder geschlossen ist, öffnet Avenger Deinen Editor mit dem Avengerlog, zu finden auch unter C:\avenger.txt. Den Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt.

Schritt 3

Ich sehe in den Logs dass Du Combofix benutzt hast. Bitte poste mir noch das Log dazu.
Seitenanfang Seitenende
18.06.2010, 22:36
Member

Themenstarter

Beiträge: 19
#8 Hallo Swiss

alle drei Schritte erledigt.

1. Java deinstalliert und wieder installiert.

2. Das log von Avenger:

[Code]//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Fri Jun 18 22:16:41 2010

22:16:41: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "alsqhcc" disabled successfully.

Error: could not open driver "alsqhcc.sys"
Disablement of driver "alsqhcc.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "alsqhcc" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\alsqhcc.sys" not found!
Deletion of driver "alsqhcc.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\System32\drivers\alsqhcc.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


3. Das log von Combofix:

[Code]ComboFix 10-06-15.02 - Metin 16.06.2010 7:17.2.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Metin\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Metin\Anwendungsdaten\avdrn.dat
c:\windows\system32\lowsec

.
((((((((((((((((((((((( Dateien erstellt von 2010-05-16 bis 2010-06-16 ))))))))))))))))))))))))))))))
.

2010-06-15 19:25 . 2010-06-15 19:25 -------- d-----w- c:\programme\Enigma Software Group
2010-06-15 19:23 . 2010-06-15 20:24 -------- d-----w- c:\windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
2010-06-15 19:23 . 2010-06-15 19:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-06-15 06:58 . 2010-06-16 05:55 772096 ----a-w- c:\windows\system32\drivers\alsqhcc.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-15 13:02 . 2010-06-15 13:02 12 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat
2010-06-15 06:57 . 2010-06-15 06:57 12 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qcopjv.dat
2010-06-02 20:19 . 2008-03-27 18:05 -------- d-----w- c:\dokumente und einstellungen\Metin\Anwendungsdaten\Skype
2010-06-02 18:05 . 2008-03-27 19:07 -------- d-----w- c:\dokumente und einstellungen\Metin\Anwendungsdaten\skypePM
2010-05-19 20:53 . 2008-04-29 18:18 -------- d-----w- c:\programme\Google
2010-05-04 17:14 . 2004-09-29 18:47 832512 ----a-w- c:\windows\system32\wininet.dll
2010-05-04 17:14 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-05-04 17:14 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-05-02 08:24 . 2004-08-04 12:00 1851008 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:46 . 2004-08-04 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-03-28 04:18 . 2004-08-04 12:00 75392 ----a-w- c:\windows\system32\perfc007.dat
2010-03-28 04:18 . 2004-08-04 12:00 416044 ----a-w- c:\windows\system32\perfh007.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2008-02-02 88107]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2002-12-02 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2003-01-09 57418]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2002-10-23 163840]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2003-01-09 53248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Metin\Startmen\Programme\Autostart\
siszpe32.exe [2004-8-4 30720]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AirTies ADSL Hizmet Programì.lnk - c:\programme\AirTies\ADSL Hizmet Programì\AirTies_util3.exe [2008-12-16 4491264]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 02:06 40048 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2008-02-02 13:08 88107 ----a-w- c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GW Port Controller]
2004-02-09 12:03 163840 ----a-w- c:\programme\Samsung\SmarThru\Portctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-02-02 12:55 118784 ----a-w- c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-02-02 12:55 155648 ----a-w- c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
2007-02-07 23:12 488984 ----a-w- c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2007-02-07 23:13 774168 ----a-w- c:\programme\Logitech\QuickCam10\QuickCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-03-27 09:25 36972 ----a-w- c:\programme\Java\jre1.5.0\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2003-04-24 14:44 610304 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2003-04-24 14:51 110592 ----a-w- c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires II The Conquerors Expansion Trial\\age2_x1t.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.10.2009 00:16 108289]
S1 mailKmd;mailKmd; [x]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.12.2009 09:17 135664]
S3 WBMS;Winbond Memory Stick Storage (MS) Device Driver;c:\windows\system32\Drivers\WBMS.SYS --> c:\windows\system32\Drivers\WBMS.SYS [?]
S3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\Drivers\WBSD.SYS --> c:\windows\system32\Drivers\WBSD.SYS [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - alsqhcc
.
Inhalt des "geplante Tasks" Ordners

2010-06-16 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-12-09 20:58]

2010-06-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-13 07:16]

2010-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-13 07:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-MsnMsgr - c:\programme\Windows Live\Messenger\msnmsgr.exe
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
MSConfigStartUp-LogitechSetup - e:\setup\Setup.exe
MSConfigStartUp-MSMSGS - c:\programme\Messenger\msmsgs.exe
MSConfigStartUp-MsnMsgr - c:\programme\MSN Messenger\MsnMsgr.Exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-16 07:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\alsqhcc]

.
Zeit der Fertigstellung: 2010-06-16 08:02:28
ComboFix-quarantined-files.txt 2010-06-16 06:02

Vor Suchlauf: 5 Verzeichnis(se), 30,633,209,856 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 30,712,393,728 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 9BDCE28063B56D4A526DD95E4D56C043

Viele Grüße.
Seitenanfang Seitenende
19.06.2010, 08:00
Moderator

Beiträge: 5694
#9 Bitte führe Combofix erneut aus und poste mir das neue Log.
Kommen die Meldungen von Avira noch?
Seitenanfang Seitenende
19.06.2010, 10:14
Member

Themenstarter

Beiträge: 19
#10 Hallo Swiss,

hier das neue logfile von Combofix:

Code

ComboFix 10-06-18.03 - Metin 19.06.2010   9:27.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.502.265 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Metin\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-05-19 bis 2010-06-19  ))))))))))))))))))))))))))))))
.

2010-06-18 20:09 . 2010-06-18 20:09    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-06-18 20:09 . 2010-06-18 20:09    503808    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dca479b-n\msvcp71.dll
2010-06-18 20:09 . 2010-06-18 20:09    499712    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dca479b-n\jmc.dll
2010-06-18 20:09 . 2010-06-18 20:09    348160    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dca479b-n\msvcr71.dll
2010-06-18 20:09 . 2010-06-18 20:09    61440    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7636ea9c-n\decora-sse.dll
2010-06-18 20:09 . 2010-06-18 20:09    12800    ----a-w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7636ea9c-n\decora-d3d.dll
2010-06-18 20:09 . 2010-06-18 20:08    411368    ----a-w-    c:\windows\system32\deployJava1.dll
2010-06-18 20:08 . 2010-06-18 20:08    --------    d-----w-    c:\programme\Java
2010-06-17 20:54 . 2010-06-17 20:54    --------    d-----w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Malwarebytes
2010-06-17 20:50 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-17 20:49 . 2010-06-17 20:49    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-06-17 20:49 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-06-17 20:49 . 2010-06-17 20:50    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-06-15 19:25 . 2010-06-15 19:25    --------    d-----w-    c:\programme\Enigma Software Group
2010-06-15 19:23 . 2010-06-15 20:24    --------    d-----w-    c:\windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
2010-06-15 19:23 . 2010-06-15 19:23    --------    d-----w-    c:\programme\Gemeinsame Dateien\Wise Installation Wizard

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 13:08 . 2008-03-27 18:05    --------    d-----w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\Skype
2010-06-16 11:15 . 2008-03-27 19:07    --------    d-----w-    c:\dokumente und einstellungen\Metin\Anwendungsdaten\skypePM
2010-06-15 13:02 . 2010-06-15 13:02    12    ----a-w-    c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat
2010-06-15 06:57 . 2010-06-15 06:57    12    ----a-w-    c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qcopjv.dat
2010-05-19 20:53 . 2008-04-29 18:18    --------    d-----w-    c:\programme\Google
2010-05-04 17:14 . 2004-09-29 18:47    832512    ----a-w-    c:\windows\system32\wininet.dll
2010-05-04 17:14 . 2004-08-04 12:00    78336    ----a-w-    c:\windows\system32\ieencode.dll
2010-05-04 17:14 . 2004-08-04 12:00    17408    ----a-w-    c:\windows\system32\corpol.dll
2010-05-02 08:24 . 2004-08-04 12:00    1851008    ----a-w-    c:\windows\system32\win32k.sys
2010-04-20 05:46 . 2004-08-04 12:00    285696    ----a-w-    c:\windows\system32\atmfd.dll
2010-03-28 04:18 . 2004-08-04 12:00    75392    ----a-w-    c:\windows\system32\perfc007.dat
2010-03-28 04:18 . 2004-08-04 12:00    416044    ----a-w-    c:\windows\system32\perfh007.dat
.

(((((((((((((((((((((((((((((   SnapShot@2010-06-16_05.55.35   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-19 07:19 . 2010-06-19 07:19    16384              c:\windows\temp\Perflib_Perfdata_284.dat
+ 2010-06-18 20:09 . 2010-06-18 20:08    153376              c:\windows\system32\javaws.exe
+ 2010-06-18 20:09 . 2010-06-18 20:08    145184              c:\windows\system32\javaw.exe
+ 2010-06-18 20:09 . 2010-06-18 20:08    145184              c:\windows\system32\java.exe
+ 2010-06-18 20:09 . 2010-06-18 20:09    180224              c:\windows\Installer\13b85a.msi
+ 2010-06-18 20:08 . 2010-06-18 20:08    576000              c:\windows\Installer\13b854.msi
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2008-02-02 88107]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2002-12-02 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2003-01-09 57418]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2002-10-23 163840]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2003-01-09 53248]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AirTies ADSL Hizmet Programì.lnk - c:\programme\AirTies\ADSL Hizmet Programì\AirTies_util3.exe [2008-12-16 4491264]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 02:06    40048    ----a-w-    c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2008-02-02 13:08    88107    ----a-w-    c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 12:00    15360    ----a-w-    c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GW Port Controller]
2004-02-09 12:03    163840    ----a-w-    c:\programme\Samsung\SmarThru\Portctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-02-02 12:55    118784    ----a-w-    c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-02-02 12:55    155648    ----a-w-    c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
2007-02-07 23:12    488984    ----a-w-    c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2007-02-07 23:13    774168    ----a-w-    c:\programme\Logitech\QuickCam10\QuickCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50    155648    ----a-w-    c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2003-04-24 14:44    610304    ----a-w-    c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2003-04-24 14:51    110592    ----a-w-    c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires II The Conquerors Expansion Trial\\age2_x1t.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.10.2009 00:16 108289]
S1 mailKmd;mailKmd; [x]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.12.2009 09:17 135664]
S3 WBMS;Winbond Memory Stick Storage (MS) Device Driver;c:\windows\system32\Drivers\WBMS.SYS --> c:\windows\system32\Drivers\WBMS.SYS [?]
S3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\Drivers\WBSD.SYS --> c:\windows\system32\Drivers\WBSD.SYS [?]
.
Inhalt des "geplante Tasks" Ordners

2010-06-19 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-12-09 20:58]

2010-06-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-13 07:16]

2010-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-13 07:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre1.5.0\bin\jusched.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-19 09:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-06-19  09:35:04
ComboFix-quarantined-files.txt  2010-06-19 07:35
ComboFix2.txt  2010-06-16 06:02

Vor Suchlauf: 6 Verzeichnis(se), 31,241,940,992 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 31,324,876,800 Bytes frei

- - End Of File - - 6DD722A9028BD3F8DDC1AC9B686688C6


Danach habe ich Avira laufen lassen mit folgendem logfile:

Code



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 19. Juni 2010  09:37

Es wird nach 2227595 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : METE

Versionsinformationen:
BUILD.DAT      : 9.0.0.422     21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  21.11.2009 23:45:50
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 12:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 11:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 10:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 23:45:50
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 23:45:50
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 07:09:08
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 20:13:06
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 21:35:06
VBASE005.VDF   : 7.10.6.82   2494464 Bytes  15.04.2010 20:15:39
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 19:56:32
VBASE007.VDF   : 7.10.7.219      2048 Bytes  02.06.2010 19:56:32
VBASE008.VDF   : 7.10.7.220      2048 Bytes  02.06.2010 19:56:32
VBASE009.VDF   : 7.10.7.221      2048 Bytes  02.06.2010 19:56:32
VBASE010.VDF   : 7.10.7.222      2048 Bytes  02.06.2010 19:56:32
VBASE011.VDF   : 7.10.7.223      2048 Bytes  02.06.2010 19:56:32
VBASE012.VDF   : 7.10.7.224      2048 Bytes  02.06.2010 19:56:33
VBASE013.VDF   : 7.10.8.37    270336 Bytes  10.06.2010 20:04:09
VBASE014.VDF   : 7.10.8.69    138752 Bytes  14.06.2010 04:02:47
VBASE015.VDF   : 7.10.8.102    130560 Bytes  16.06.2010 05:02:43
VBASE016.VDF   : 7.10.8.103      2048 Bytes  16.06.2010 05:02:43
VBASE017.VDF   : 7.10.8.104      2048 Bytes  16.06.2010 05:02:43
VBASE018.VDF   : 7.10.8.105      2048 Bytes  16.06.2010 05:02:43
VBASE019.VDF   : 7.10.8.106      2048 Bytes  16.06.2010 05:02:44
VBASE020.VDF   : 7.10.8.107      2048 Bytes  16.06.2010 05:02:44
VBASE021.VDF   : 7.10.8.108      2048 Bytes  16.06.2010 05:02:44
VBASE022.VDF   : 7.10.8.109      2048 Bytes  16.06.2010 05:02:44
VBASE023.VDF   : 7.10.8.110      2048 Bytes  16.06.2010 05:02:44
VBASE024.VDF   : 7.10.8.111      2048 Bytes  16.06.2010 05:02:44
VBASE025.VDF   : 7.10.8.112      2048 Bytes  16.06.2010 05:02:44
VBASE026.VDF   : 7.10.8.113      2048 Bytes  16.06.2010 05:02:44
VBASE027.VDF   : 7.10.8.114      2048 Bytes  16.06.2010 05:02:44
VBASE028.VDF   : 7.10.8.115      2048 Bytes  16.06.2010 05:02:44
VBASE029.VDF   : 7.10.8.116      2048 Bytes  16.06.2010 05:02:45
VBASE030.VDF   : 7.10.8.117      2048 Bytes  16.06.2010 05:02:45
VBASE031.VDF   : 7.10.8.127    102912 Bytes  18.06.2010 05:02:45
Engineversion  : 8.2.2.6  
AEVDF.DLL      : 8.1.2.0      106868 Bytes  23.04.2010 21:34:25
AESCRIPT.DLL   : 8.1.3.31    1352058 Bytes  03.06.2010 19:57:20
AESCN.DLL      : 8.1.6.1      127347 Bytes  13.05.2010 14:21:34
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 21:34:26
AERDL.DLL      : 8.1.4.6      541043 Bytes  18.04.2010 20:15:58
AEPACK.DLL     : 8.2.1.1      426358 Bytes  19.03.2010 22:41:02
AEOFFICE.DLL   : 8.1.1.0      201081 Bytes  13.05.2010 14:21:33
AEHEUR.DLL     : 8.1.1.33    2724214 Bytes  04.06.2010 20:03:59
AEHELP.DLL     : 8.1.11.5     242038 Bytes  03.06.2010 19:56:46
AEGEN.DLL      : 8.1.3.10     377205 Bytes  03.06.2010 19:56:42
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 21:34:21
AECORE.DLL     : 8.1.15.3     192886 Bytes  13.05.2010 14:21:29
AEBB.DLL       : 8.1.1.0       53618 Bytes  23.04.2010 21:34:19
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 08:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  01.11.2009 21:38:21
AVREP.DLL      : 8.0.0.7      159784 Bytes  17.02.2010 21:04:51
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 15:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 15:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 10:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 15:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 08:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 15:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 15:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  21.11.2009 23:45:49

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 19. Juni 2010  09:37

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '34633' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AirTies_util3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{4B8540E7-0BF7-4FC9-9CBB-38A1A8E5ECBF}\RP447\A0037239.sys
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Beginne mit der Suche in 'D:\' <Lokaler Datenträger>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{4B8540E7-0BF7-4FC9-9CBB-38A1A8E5ECBF}\RP447\A0037239.sys
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c4c7b5e.qua' verschoben!


Ende des Suchlaufs: Samstag, 19. Juni 2010  10:09
Benötigte Zeit: 30:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   5047 Verzeichnisse wurden überprüft
170612 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
170610 Dateien ohne Befall
    887 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise
  34633 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden



Das Ergebnis: TR/Crypt.ZPACK.Gen 1 x entdeckt.

Viele Grüße.
Seitenanfang Seitenende
19.06.2010, 13:52
Moderator

Beiträge: 5694
#11 Ja aber lediglich in der Systemwiederherstellung, also nicht aktiv ;)

Die nächsten Schritte kommen am Abend. Muss arbeiten ;)
Seitenanfang Seitenende
19.06.2010, 15:26
Member

Themenstarter

Beiträge: 19
#12 OK, hört sich aber doch gut an oder ???

Viele Grüsse.
Seitenanfang Seitenende
19.06.2010, 21:48
Member

Themenstarter

Beiträge: 19
#13 Hi Swiss,

habe nochmal Antivir laufen lassen und diesmal keine Funde!!! Hier der Report:

Code



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 19. Juni 2010  21:11

Es wird nach 2227595 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : METE

Versionsinformationen:
BUILD.DAT      : 9.0.0.422     21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  21.11.2009 23:45:50
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 12:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 11:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 10:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 23:45:50
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 23:45:50
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 07:09:08
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 20:13:06
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 21:35:06
VBASE005.VDF   : 7.10.6.82   2494464 Bytes  15.04.2010 20:15:39
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 19:56:32
VBASE007.VDF   : 7.10.7.219      2048 Bytes  02.06.2010 19:56:32
VBASE008.VDF   : 7.10.7.220      2048 Bytes  02.06.2010 19:56:32
VBASE009.VDF   : 7.10.7.221      2048 Bytes  02.06.2010 19:56:32
VBASE010.VDF   : 7.10.7.222      2048 Bytes  02.06.2010 19:56:32
VBASE011.VDF   : 7.10.7.223      2048 Bytes  02.06.2010 19:56:32
VBASE012.VDF   : 7.10.7.224      2048 Bytes  02.06.2010 19:56:33
VBASE013.VDF   : 7.10.8.37    270336 Bytes  10.06.2010 20:04:09
VBASE014.VDF   : 7.10.8.69    138752 Bytes  14.06.2010 04:02:47
VBASE015.VDF   : 7.10.8.102    130560 Bytes  16.06.2010 05:02:43
VBASE016.VDF   : 7.10.8.103      2048 Bytes  16.06.2010 05:02:43
VBASE017.VDF   : 7.10.8.104      2048 Bytes  16.06.2010 05:02:43
VBASE018.VDF   : 7.10.8.105      2048 Bytes  16.06.2010 05:02:43
VBASE019.VDF   : 7.10.8.106      2048 Bytes  16.06.2010 05:02:44
VBASE020.VDF   : 7.10.8.107      2048 Bytes  16.06.2010 05:02:44
VBASE021.VDF   : 7.10.8.108      2048 Bytes  16.06.2010 05:02:44
VBASE022.VDF   : 7.10.8.109      2048 Bytes  16.06.2010 05:02:44
VBASE023.VDF   : 7.10.8.110      2048 Bytes  16.06.2010 05:02:44
VBASE024.VDF   : 7.10.8.111      2048 Bytes  16.06.2010 05:02:44
VBASE025.VDF   : 7.10.8.112      2048 Bytes  16.06.2010 05:02:44
VBASE026.VDF   : 7.10.8.113      2048 Bytes  16.06.2010 05:02:44
VBASE027.VDF   : 7.10.8.114      2048 Bytes  16.06.2010 05:02:44
VBASE028.VDF   : 7.10.8.115      2048 Bytes  16.06.2010 05:02:44
VBASE029.VDF   : 7.10.8.116      2048 Bytes  16.06.2010 05:02:45
VBASE030.VDF   : 7.10.8.117      2048 Bytes  16.06.2010 05:02:45
VBASE031.VDF   : 7.10.8.127    102912 Bytes  18.06.2010 05:02:45
Engineversion  : 8.2.2.6  
AEVDF.DLL      : 8.1.2.0      106868 Bytes  23.04.2010 21:34:25
AESCRIPT.DLL   : 8.1.3.31    1352058 Bytes  03.06.2010 19:57:20
AESCN.DLL      : 8.1.6.1      127347 Bytes  13.05.2010 14:21:34
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 21:34:26
AERDL.DLL      : 8.1.4.6      541043 Bytes  18.04.2010 20:15:58
AEPACK.DLL     : 8.2.1.1      426358 Bytes  19.03.2010 22:41:02
AEOFFICE.DLL   : 8.1.1.0      201081 Bytes  13.05.2010 14:21:33
AEHEUR.DLL     : 8.1.1.33    2724214 Bytes  04.06.2010 20:03:59
AEHELP.DLL     : 8.1.11.5     242038 Bytes  03.06.2010 19:56:46
AEGEN.DLL      : 8.1.3.10     377205 Bytes  03.06.2010 19:56:42
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 21:34:21
AECORE.DLL     : 8.1.15.3     192886 Bytes  13.05.2010 14:21:29
AEBB.DLL       : 8.1.1.0       53618 Bytes  23.04.2010 21:34:19
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 08:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  01.11.2009 21:38:21
AVREP.DLL      : 8.0.0.7      159784 Bytes  17.02.2010 21:04:51
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 15:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 15:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 10:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 15:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 08:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 15:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 15:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  21.11.2009 23:45:49

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 19. Juni 2010  21:11

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '36125' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AirTies_util3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctrlvol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <Lokaler Datenträger>


Ende des Suchlaufs: Samstag, 19. Juni 2010  21:44
Benötigte Zeit: 33:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   5049 Verzeichnisse wurden überprüft
171740 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
171739 Dateien ohne Befall
    887 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise
  36125 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden



Grüße
Seitenanfang Seitenende
19.06.2010, 23:46
Moderator

Beiträge: 5694
#14 Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix.exe /u => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 2


F-Secure Onlinescanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der
Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit)
Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten.
• Einen Haken bei "I have read and accepted the license terms".
• Den Button "Install" drücken.
• IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken.
• Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten.
• Den Button "Start" drücken.
• "Full Scan" einstellen und den Button "Start" drücken.
• Die Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Scanende (Finish).
• Bei Funden benutze => Automatische Bereinigung (Automatically)
• und klicke auf den Button "Next".
• Bericht anzeigen, indem Du auf den Button "Full report" klickst.
• Menü => Datei => Seite speichern unter
Dateityp auf Textdatei umstellen und
• auf dem Desktop als f-secure.txtspeichern.
• Log hier posten.Deinstallation
Firefox:
Addon über Extras => F-Secure deinstallieren.
Internet Explorer:
mit HJT folgenden Eintrag fixen:
O16 - DPF: {BDBDE413-7B1C-4V68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3)
Seitenanfang Seitenende
20.06.2010, 01:02
Member

Themenstarter

Beiträge: 19
#15 Hallo Swiss,

mit ComboFix.exe /u habe ich den Scann mit Combofix ausgeführt. Deinstalliert hat sich das Programm nicht.

???

Viele Grüße
Seitenanfang Seitenende