HJT bitte prüfen - vll. Trojaner - bekomm ihn nicht runter

Status
Nicht offen für weitere Antworten.

marcusmc

Erfahrener Benutzer
#1
Hi Leute,

ich habe laut "Malewarebytes" einen Trojaner drauf, der sich nicht mehr runter löschen lässt.

Wie bekomm ich ihn trotzdem runter??? Ihr habt mir bisher immer soo schnell geholfen mit Tricks die so einfach und schnell waren ... helft mir doch auch diesmal.

Ausserdem kann ich mein ESETNod32 Avir 4 nicht updaten - kommt immer wieder "Compilerfehler" ...

Danke,
Gruß,
Marcus



Hier die LogFile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:34:23, on 22.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Sandboxie\SbieSvc.exe
\?\globalroot\C:\WINDOWS\system32\msihost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Belkin Wireless Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1240682032187
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Windows MSI - Unknown owner - \\?\globalrootC:\WINDOWS\system32\msihost.exe (file missing)

--
End of file - 3938 bytes
 

marcusmc

Erfahrener Benutzer
#3
Es kommt in unregelmäßigen Abständen eine "Windows fordert Erlaubnis das Instrument für On - Line Schutz zu Installieren?" - ist in den Farben von XP gemacht und Online ist so geschreiben " On - Line" in einer Zeile, ziemlich auffällig !!!

Denke mal, das ist auch der Wurm. Gestern kam von Eset die Meldung das ein Trojaner im Arbeitsspeicher gefunden wurde. Wie bekomm ich den raus? Im Eset den "Arbeitsspeicher optimieren" ???


Hier das Ergebniss:

Malwarebytes:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2682
Windows 5.1.2600 Service Pack 3

23.08.2009 10:21:37
mbam-log-2009-08-23 (10-21-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99895
Laufzeit: 8 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Eset:

Log
Version der Signaturdatenbank: 4359 (20090822)
Datum: 23.08.2009 Uhrzeit: 10:14:12
Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;C:\Bootsektor;D:\Bootsektor;E:\Bootsektor;C:\;D:\;E:\
C:\pagefile.sys - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Ethanolfreak\Anwendungsdaten\ASCOMP Software\Cleaning Suite\csuite.exe » INNO » file0000.bin - möglicherweise unbekannter Virus NewHeur_PE Virus [7]
C:\Dokumente und Einstellungen\Ethanolfreak\Anwendungsdaten\Mozilla\Firefox\Profiles\vbn54rp3.default\extensions\firegestures@xuldev.org\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Ethanolfreak\Lokale Einstellungen\Anwendungsdaten\Identities\{8A1D83C3-0A3A-499D-8810-050F3E6D3A80}\Microsoft\Outlook Express\Posteingang.dbx » DBX - - OK (eingebettete Archive NICHT geprüft)
C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab » CAB » PROCESS_LIBRARY.FDT » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab » CAB » HIRING_REQUISITION_CUSTOMIZED.FDT » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab » CAB » HARDWARE_TRACKER.FDT » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab » CAB » HIRING_REQUISITION.FDT » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab » CAB » CUSTOMER_SUPPORT.FDT » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab » CAB » TRACK_ISSUES.FDT » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab » CAB » STATUS_REPORT.FDT » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab » CAB » POLICIES.FDT » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Java\jre6\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Java\jre6\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Java\jre6\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Java\jre6\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}/chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Java\jre6\lib\deploy\jqs\ff\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Customer Support.fdt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Hardware Tracker.fdt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Hiring Requisition - Customized.fdt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Hiring Requisition.fdt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\POLICIES.FDT » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Process Library.fdt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Status Report.fdt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Track Issues.fdt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Mozilla Firefox\chrome\comm.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Mozilla Firefox\chrome\pippki.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Mozilla Firefox\chrome\toolkit.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)

Geprüfte Objekte: 185620
Erkannte Bedrohungen: 3
Number of cleaned objects: 0
Abgeschlossen: 11:21:49 Benötigte Zeit: 4057 Sek. (01:07:37)


Irgendwelche Ideen???
 

McFly

Erfahrener Benutzer
#4
Lass mal den Spybot scannen was er findet..und poste uns bitte das Ergebnis.
Downloaden, Updaten, scannen.
Die Seite von Spybot-S&D!

Solang kein eindeutiger Name angezeigt wird, kann es sein das es eine Falschmeldung ist, oder halt auch ein Trojaner der erst neu in Umlauf ist.
 
Zuletzt bearbeitet:

marcusmc

Erfahrener Benutzer
#5
Hab Spybot prüfen lassen und er hat 6 Probleme gefunden.

Hier das echt laaange Ergebniss:




--- Search result list ---
Win32.FraudLoad.edt: [SBI $0174D446] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\.DEFAULT\Software\NordBull

Win32.FraudLoad.edt: [SBI $0174D446] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-18\Software\NordBull

QuadRegistryCleaner: [SBI $C540D6DF] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\QUAD Registry Cleaner v2

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Win32.TDSS.eit: [SBI $9097696A] Root class (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\msqpdxvx

DoubleClick: Verfolgender Cookie (Firefox: Marcus (default)) (Cookie, fixed)



--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2009-08-23 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-07-28 advcheck.dll (1.6.3.17)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-05-19 Includes\Adware.sbi (*)
2009-08-18 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-05-19 Includes\Dialer.sbi (*)
2009-08-19 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2009-08-04 Includes\HijackersC.sbi (*)
2009-06-23 Includes\Keyloggers.sbi (*)
2009-07-30 Includes\KeyloggersC.sbi (*)
2009-08-19 Includes\Malware.sbi (*)
2009-08-19 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2009-08-18 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2009-07-30 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-04-07 Includes\Spyware.sbi (*)
2009-08-11 Includes\SpywareC.sbi (*)
2009-06-08 Includes\Tracks.uti
2009-08-19 Includes\Trojans.sbi (*)
2009-08-19 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll



--- System information ---
Windows XP (Build: 2600) Service Pack 3 (5.1.2600)
/ Windows Media Player: Sicherheitsupdate für Windows Media Player (KB952069)
/ Windows Media Player: Sicherheitsupdate für Windows Media Player (KB973540)
/ Windows XP: Sicherheitsupdate für Windows XP (KB923689)
/ Windows XP: Sicherheitsupdate für Windows XP (KB941569)
/ Windows XP / SP0: Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
/ Windows XP / SP0: Update für Windows Internet Explorer 8 (KB971930)
/ Windows XP / SP0: Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
/ Windows XP / SP2: Windows XP Service Pack 2
/ Windows XP / SP3: Windows XP Service Pack 3
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB923561)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB938464-v2)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950760)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950762)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950974)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951066)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951376-v2)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951748)
/ Windows XP / SP4: Update für Windows XP (KB951978)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB952004)
/ Windows XP / SP4: Hotfix für Windows XP (KB952287)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB952954)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954459)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954600)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB955069)
/ Windows XP / SP4: Update für Windows XP (KB955839)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956572)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956744)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956802)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956803)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB957097)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958644)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958687)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958690)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB959426)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960225)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960715)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960803)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960859)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB961371)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB961373)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB961501)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB963027)
/ Windows XP / SP4: Update für Windows XP (KB967715)
/ Windows XP / SP4: Update für Windows XP (KB968389)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB968537)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB969897)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB969898)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB970238)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB971557)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB971633)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB971657)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973346)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973354)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973507)
/ Windows XP / SP4: Update für Windows XP (KB973815)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973869)


--- Startup entries list ---
Located: HK_LM:Run, egui
command: "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
file: C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
size: 2021400
MD5: 861C702C4612B68FD9C36CB60245087B

Located: HK_CU:Run, SpybotSD TeaTimer
where: S-1-5-21-1993962763-299502267-839522115-1004...
command: D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
file: D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
size: 2260480
MD5: 390679F7A217A5E73D756276C40AE887

Located: HK_CU:Run, ctfmon.exe
where: S-1-5-21-1993962763-299502267-839522115-1005...
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: Startup (allgemein), Belkin Wireless Utility.lnk
where: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart...
command: C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
file: C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
size: 1523712
MD5: EED06BB6532D073E658B08DDE3F8C8F9

Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!


Teil 1
 

marcusmc

Erfahrener Benutzer
#6
Teil 2


--- Browser helper object list ---
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} (AcroIEHelperStub)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name: AcroIEHelperStub
CLSID name: Adobe PDF Link Helper
Path: C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\
Long name: AcroIEHelperShim.dll
Short name: ACROIE~2.DLL
Date (created): 27.02.2009 13:07:26
Date (last access): 23.08.2009 13:06:32
Date (last write): 27.02.2009 13:07:26
Filesize: 75128
Attributes: archive
MD5: 5CF6190CD875DA6B35256FEE573E7908
CRC32: 764BA81B
Version: 9.1.0.163

{53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: Spybot-S&D IE Protection
description: Spybot-S&D IE Browser plugin
classification: Legitimate
known filename: SDhelper.dll
info link: http://spybot.eon.net.au/
info source: Patrick M. Kolla
Path: D:\PROGRA~1\SPYBOT~1\
Long name: SDHelper.dll
Short name:
Date (created): 23.08.2009 12:57:10
Date (last access): 23.08.2009 12:57:12
Date (last write): 26.01.2009 15:31:02
Filesize: 1879896
Attributes: archive
MD5: 022C2F6DCCDFA0AD73024D254E62AFAC
CRC32: 5BA24007
Version: 1.6.2.14

{72853161-30C5-4D22-B7F9-0BBC1D38A37E} (Groove GFS Browser Helper)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: Groove GFS Browser Helper
Path: C:\PROGRA~1\MICROS~2\Office12\
Long name: GrooveShellExtensions.dll
Short name: GRA8E1~1.DLL
Date (created): 27.10.2006 01:48:42
Date (last access): 23.08.2009 12:53:28
Date (last write): 27.10.2006 01:48:42
Filesize: 2210608
Attributes: archive
MD5: 786DD1892B553EFE5A004AC39775C851
CRC32: AAD965C9
Version: 12.0.4518.1014

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: Java(tm) Plug-In SSV Helper
Path: C:\Programme\Java\jre6\bin\
Long name: ssv.dll
Short name:
Date (created): 22.11.2008 17:49:52
Date (last access): 23.08.2009 13:10:02
Date (last write): 22.11.2008 17:49:52
Filesize: 320920
Attributes: archive
MD5: DC090E320775F1B1FE896F6E1D393D7F
CRC32: 068B5AFC
Version: 6.0.100.33

{DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: Java(tm) Plug-In 2 SSV Helper
Path: C:\Programme\Java\jre6\bin\
Long name: jp2ssv.dll
Short name:
Date (created): 22.11.2008 17:49:52
Date (last access): 23.08.2009 13:09:42
Date (last write): 22.11.2008 17:49:52
Filesize: 34816
Attributes: archive
MD5: 27771CDC5D464818C8F92356AE840A6F
CRC32: B0BC1BD4
Version: 6.0.100.33

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} (JQSIEStartDetectorImpl)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name: JQSIEStartDetectorImpl
CLSID name: JQSIEStartDetectorImpl Class
Path: C:\Programme\Java\jre6\lib\deploy\jqs\ie\
Long name: jqs_plugin.dll
Short name: JQS_PL~1.DLL
Date (created): 22.11.2008 17:49:54
Date (last access): 23.08.2009 13:06:32
Date (last write): 22.11.2008 17:49:54
Filesize: 73728
Attributes: archive
MD5: 8F206275452A3668097A7A26F62A7127
CRC32: 44B85557
Version: 6.0.100.33



--- ActiveX list ---
DirectAnimation Java Classes (DirectAnimation Java Classes)
DPF name: DirectAnimation Java Classes
CLSID name:
Installer:
Codebase: file://C:\WINDOWS\Java\classes\dajava.cab
description:
classification: Legitimate
known filename: %WINDIR%\Java\classes\dajava.cab
info link:
info source: Patrick M. Kolla

Microsoft XML Parser for Java (Microsoft XML Parser for Java)
DPF name: Microsoft XML Parser for Java
CLSID name:
Installer:
Codebase: file://C:\WINDOWS\Java\classes\xmldso.cab
description:
classification: Legitimate
known filename: %WINDIR%\Java\classes\xmldso.cab
info link:
info source: Patrick M. Kolla

{6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)
DPF name:
CLSID name: WUWebControl Class
Installer: C:\WINDOWS\Downloaded Program Files\wuweb.inf
Codebase: http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1240682032187
description:
classification: Legitimate
known filename: wuweb.dll
info link:
info source: Safer Networking Ltd.
Path: C:\WINDOWS\System32\
Long name: wuweb.dll
Short name:
Date (created): 30.07.2007 20:19:46
Date (last access): 23.08.2009 13:08:02
Date (last write): 16.10.2008 14:12:24
Filesize: 202776
Attributes: archive
MD5: 0006DE8037F5A562F96B461B3C557C3C
CRC32: 9B107DED
Version: 7.2.6001.788

{8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0)
DPF name: Java Runtime Environment 1.6.0
CLSID name: Java Plug-in 1.6.0_10
Installer:
Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab
description: Sun Java
classification: Legitimate
known filename: %PROGRAM FILES%\JabaSoft\JRE\*\Bin\npjava131.dll
info link:
info source: Patrick M. Kolla
Path: C:\Programme\Java\jre6\bin\
Long name: npjpi160_10.dll
Short name: NPJPI1~1.DLL
Date (created): 22.11.2008 17:49:52
Date (last access): 23.08.2009 10:30:06
Date (last write): 22.11.2008 17:49:52
Filesize: 132504
Attributes: archive
MD5: 3CEF7A7DE0D5141E016A862B1D86B1CD
CRC32: CC232AC8
Version: 6.0.100.33

{9F1C11AA-197B-4942-BA54-47A8489BB47F} ()
DPF name:
CLSID name:
Installer: C:\WINDOWS\Downloaded Program Files\iuctl.inf
Codebase: http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?39771.3215625
description: Windows Update
classification: Legitimate
known filename: %WINDIR%\System32\iuctl.dll,iuengine.dll
info link:
info source: Patrick M. Kolla

{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0)
DPF name: Java Runtime Environment 1.6.0
CLSID name: Java Plug-in 1.6.0_10
Installer:
Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab
Path: C:\Programme\Java\jre6\bin\
Long name: npjpi160_10.dll
Short name: NPJPI1~1.DLL
Date (created): 22.11.2008 17:49:52
Date (last access): 23.08.2009 13:27:40
Date (last write): 22.11.2008 17:49:52
Filesize: 132504
Attributes: archive
MD5: 3CEF7A7DE0D5141E016A862B1D86B1CD
CRC32: CC232AC8
Version: 6.0.100.33

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0)
DPF name: Java Runtime Environment 1.6.0
CLSID name: Java Plug-in 1.6.0_10
Installer:
Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab
description:
classification: Legitimate
known filename: npjpi150_06.dll
info link:
info source: Safer Networking Ltd.
Path: C:\Programme\Java\jre6\bin\
Long name: npjpi160_10.dll
Short name: NPJPI1~1.DLL
Date (created): 22.11.2008 17:49:52
Date (last access): 23.08.2009 13:27:40
Date (last write): 22.11.2008 17:49:52
Filesize: 132504
Attributes: archive
MD5: 3CEF7A7DE0D5141E016A862B1D86B1CD
CRC32: CC232AC8
Version: 6.0.100.33
 

marcusmc

Erfahrener Benutzer
#7
und nun der letzte Teil 3:



--- Process list ---
PID: 0 ( 0) [System]
PID: 488 ( 4) \SystemRoot\System32\smss.exe
size: 50688
PID: 560 ( 488) \??\C:\WINDOWS\system32\csrss.exe
size: 6144
PID: 584 ( 488) \??\C:\WINDOWS\system32\winlogon.exe
size: 513024
PID: 628 ( 584) C:\WINDOWS\system32\services.exe
size: 111104
MD5: A3EDBE9053889FB24AB22492472B39DC
PID: 640 ( 584) C:\WINDOWS\system32\lsass.exe
size: 13312
MD5: AFB8261B56CBA0D86AEB6DF682AF9785
PID: 800 ( 628) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 848 ( 628) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 884 ( 628) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 944 ( 628) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 996 ( 628) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 1220 ( 628) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 1264 ( 628) C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
size: 727720
MD5: D543E7E8BCAE3F5D256335EEE809ADF5
PID: 1340 ( 628) C:\Programme\Java\jre6\bin\jqs.exe
size: 152984
MD5: 5FD5865DC1A2100F8D4CF000EE5409A3
PID: 1396 ( 628) D:\Programme\Sandboxie\SbieSvc.exe
size: 53760
MD5: BF2B1146364D9114CE2943A8A9D12B26
PID: 1448 ( 628) C:\WINDOWS\system32\wdfmgr.exe
size: 38912
MD5: AB0A7CA90D9E3D6A193905DC1715DED0
PID: 1976 (1864) C:\WINDOWS\Explorer.EXE
size: 1036800
MD5: 418045A93CD87A352098AB7DABE1B53E
PID: 2032 (1976) C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
size: 2021400
MD5: 861C702C4612B68FD9C36CB60245087B
PID: 132 (1976) C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2
PID: 184 (1976) C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
size: 1523712
MD5: EED06BB6532D073E658B08DDE3F8C8F9
PID: 3968 ( 800) C:\WINDOWS\system32\DllHost.exe
size: 5120
MD5: 8FF0D9C41D3F1F3394FA96177E88488C
PID: 3548 ( 628) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 3308 (1976) D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
size: 5365592
MD5: 0477C2F9171599CA5BC3307FDFBA8D89
PID: 720 (1976) C:\Programme\Mozilla Firefox\firefox.exe
size: 908280
MD5: 0AF842F82CB567E79D065C12E029560C
PID: 4 ( 0) System


--- Browser start & search pages list ---
Spybot - Search & Destroy browser pages report, 23.08.2009 13:27:38

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINDOWS\system32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
Bing
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
Google
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINDOWS\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
Bing
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
MSN.com
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
MSN.com
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
Bing
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---
Protocol 0: MSAFD Tcpip [TCP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip [*]

Protocol 1: MSAFD Tcpip [UDP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip [*]

Protocol 2: MSAFD Tcpip [RAW/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip [*]

Protocol 3: RSVP UDP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 4: RSVP TCP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3BCABCE8-D540-407B-B66A-07E162AC00F0}] SEQPACKET 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3BCABCE8-D540-407B-B66A-07E162AC00F0}] DATAGRAM 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{18D630EF-9830-4E80-A683-4AE1FA1EEE68}] SEQPACKET 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{18D630EF-9830-4E80-A683-4AE1FA1EEE68}] DATAGRAM 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4D2C6FD6-6844-491C-87F9-3F639E37A861}] SEQPACKET 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4D2C6FD6-6844-491C-87F9-3F639E37A861}] DATAGRAM 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3EE1D008-540A-47D2-AD31-F5395E00C519}] SEQPACKET 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3EE1D008-540A-47D2-AD31-F5395E00C519}] DATAGRAM 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Namespace Provider 0: TCP/IP
GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: TCP/IP

Namespace Provider 1: NTDS
GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
Filename: %SystemRoot%\System32\winrnr.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\winrnr.dll
DB protocol: NTDS

Namespace Provider 2: NLA-Namespace
GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: NLA-Namespace
 

McFly

Erfahrener Benutzer
#8
1. Programm GMER (GMER - Rootkit Detector and Remover) downloaden.

Achtung! Ändere bitte den Namen des Programms GMER.exe in z.B. Check.exe, dadurch wird verhindert das die schädlichen Programme Gmer erkennen können.

Starte "GMER"
; Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
; nach Beendigung des Scan, drücke "Copy"
; nun kannst Du das Ergebnis hier als Text einfügen.


2. Lade dir bitte Superantispyware und lass es dein System bereinigen
Anleitung: SuperAntiSpyware - Trojaner-Board
poste anschließend bitte das Log hierher.
 
Zuletzt bearbeitet:

marcusmc

Erfahrener Benutzer
#9
GMER 1.0.15.15077 [check.exe] - GMER - Rootkit Detector and Remover
Rootkit scan 2009-08-23 16:43:07
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT 89193630 ZwAssignProcessToJobObject
SSDT spqe.sys ZwCreateKey [0xF74D70E0]
SSDT spqe.sys ZwEnumerateKey [0xF74F5CA2]
SSDT spqe.sys ZwEnumerateValueKey [0xF74F6030]
SSDT spqe.sys ZwOpenKey [0xF74D70C0]
SSDT 89192A60 ZwOpenProcess
SSDT 89192E80 ZwOpenThread
SSDT spqe.sys ZwQueryKey [0xF74F6108]
SSDT spqe.sys ZwQueryValueKey [0xF74F5F88]
SSDT spqe.sys ZwSetValueKey [0xF74F619A]
SSDT 89193460 ZwSuspendProcess
SSDT 89193280 ZwSuspendThread
SSDT 89192C90 ZwTerminateProcess
SSDT 891930B0 ZwTerminateThread

INT 0x62 ? 8972DBF8
INT 0x63 ? 892F1BF8
INT 0x82 ? 8972DBF8
INT 0xA4 ? 892F1BF8
INT 0xB4 ? 892F1BF8

---- Kernel code sections - GMER 1.0.15 ----

? spqe.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload BA4B68AC 5 Bytes JMP 892F11D8
.text a3suaks5.SYS BA410386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text a3suaks5.SYS BA4103AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text a3suaks5.SYS BA4103C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text a3suaks5.SYS BA4103C9 1 Byte [2E]
.text a3suaks5.SYS BA4103C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...
.text win32k.sys!EngAcquireSemaphore + 20E2 BF8082D1 5 Bytes JMP 890114D0
.text win32k.sys!EngFreeUserMem + 5BD2 BF80EE58 5 Bytes JMP 89011430
.text win32k.sys!EngCreateBitmap + D9A0 BF84582C 5 Bytes JMP 89011610
.text win32k.sys!EngMultiByteToWideChar + 2F22 BF85277C 5 Bytes JMP 89011750
.text win32k.sys!EngGradientFill + 5100 BF8B3C90 5 Bytes JMP 89011570
.text win32k.sys!EngAlphaBlend + 9285 BF8C3136 5 Bytes JMP 890116B0
.text win32k.sys!PATHOBJ_vGetBounds + 74E1 BF8F004B 5 Bytes JMP 890117F0

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1264] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]



TEIL 1
 

marcusmc

Erfahrener Benutzer
#10
---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8972F2D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7508C4C] spqe.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7508CA0] spqe.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D8040] spqe.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D813C] spqe.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D80BE] spqe.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D87FC] spqe.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D86D2] spqe.sys
IAT \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 892F12D8
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlInitUnicodeString] F44D8B48
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!swprintf] C1815753
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeSetEvent] 00002590
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 467C8D51
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 76F6E84A
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] D88BFFFF
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmFreeMappingAddress] 8504C483
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 5F0A75DB
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 5B08438D
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmUnmapIoSpace] 5DE58B5E
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 259068C3
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IofCompleteRequest] 006A0000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlCompareUnicodeString] 88F0E853
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IofCallDriver] 558DFFFF
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmAllocateMappingAddress] 90838DF8
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] 52000025
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoConnectInterrupt] 03895750
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoDetachDevice] FFF363E8
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeWaitForSingleObject] 0C458AFF
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeInitializeEvent] 8B104D8B
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeCancelTimer] 43881855
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] 1C458B08
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlInitAnsiString] 0F544389
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] 89FF45B6
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoQueueWorkItem] 4D8B0C4B
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmMapIoSpace] 50538920



TEIL 2
 

marcusmc

Erfahrener Benutzer
#11
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 8924558B
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoReportDetectedDevice] 5389584B
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoReportResourceForDetection] 0A43885C
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 0646B60F
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!NlsMbCodePageTag] A818C483
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!PoRequestPowerIrp] 8D7F743F
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] 001A8C8B
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] E0835100
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!sprintf] 7E8D503F
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] B9E85728
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ObfDereferenceObject] 0F0000D1
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 8D0646B6
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 001B8093
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ZwClose] E0835200
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] E857503F
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] 0000EBB4
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] 026B938D
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!PoStartNextPowerIrp] C6830000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoCreateDevice] 0008B908
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlCopyUnicodeString] FA8B0000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 758BA5F3
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 064E8A08
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ZwOpenKey] 883FE180
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlFreeUnicodeString] 0002688B
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoStartTimer] 06468A00
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeInitializeTimer] 8306E8C0
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoInitializeTimer] 023C18C4
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeInitializeDpc] 02698388
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeInitializeSpinLock] 19750000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoInitializeIrp] 028C838D
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ZwCreateKey] 52500000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 00C143E8
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 08C48300
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ZwSetValueKey] 0575C085
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeInsertQueueDpc] EB08708D
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 074E8A54
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoStartPacket] 026A8B88
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 83660000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 7601487E
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoFreeMdl] 4AC68305
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmUnlockPages] F63302EB
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 5614558B
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 75E85352
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 8BFFFFF4
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 0CC483F0
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeSynchronizeExecution] 2075F685
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoStartNextPacket] 050C7D80
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeBugCheckEx] 0092850F
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 458B0000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeSetTimer] E85350F8
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!_allmul] FFFFF848
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmProbeAndLockPages] 8408C483
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!_except_handler3] BE7875C0
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!PoSetPowerState] 00000008


TEIL 3
 

marcusmc

Erfahrener Benutzer
#12
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] F346E853
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlWriteRegistryValue] C483FFFF
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlDeleteRegistryValue] 00F46804
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!_aulldiv] 838D0000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!strstr] 00001A8C
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!_strupr] E850006A
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeQuerySystemTime] FFFF87CA
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 0000F468
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!KeTickCount] 808B8D00
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] 6A00001B
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoDeleteDevice] B7E85100
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 33FFFF87
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoAllocateWorkItem] 6B8389C0
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoAllocateIrp] 89000002
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoAllocateMdl] 00026F83
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 73838900
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmLockPagableDataSection] 89000002
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 00027783
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 7B838900
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!ExFreePoolWithTag] 89000002
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoFreeIrp] 00027F83
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!IoFreeWorkItem] 83838900
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!InitSafeBootMode] 53000002
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!RtlCompareMemory] 02878389
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!PoCallDriver] 7FE80000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!memmove] 83FFFF68
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[ntoskrnl.exe!MmHighestUserAddress] 8B5F1CC4
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!KfAcquireSpinLock] C0840CEC
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!READ_PORT_UCHAR] 053C0D74
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!KeGetCurrentIrql] 57B80974
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!KfRaiseIrql] 8B000000
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!KfLowerIrql] 56C35DE5
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!HalGetInterruptVector] 8D08758B
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!HalTranslateBusAddress] 8D51FC4D
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!KeStallExecutionProcessor] 8D52FD55
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!KfReleaseSpinLock] 8D51FE4D
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D52FF55
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!READ_PORT_USHORT] 8D51F84D
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 5052F455
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[HAL.dll!WRITE_PORT_UCHAR] EACAE856
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[WMILIB.SYS!WmiSystemControl] 0FC08520
IAT \SystemRoot\System32\Drivers\a3suaks5.SYS[WMILIB.SYS!WmiCompleteRequest] 0001B185


TEIL 4
 

marcusmc

Erfahrener Benutzer
#13
---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8972C1F8

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

Device \FileSystem\Fastfat \FatCdrom 894B1500
Device \Driver\usbohci \Device\USBPDO-0 892F01F8
Device \Driver\usbohci \Device\USBPDO-1 892F01F8
Device \Driver\usbehci \Device\USBPDO-2 892D91F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{3BCABCE8-D540-407B-B66A-07E162AC00F0} 8945F500

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

Device \Driver\Ftdisk \Device\HarddiskVolume1 8979B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8979B1F8
Device \Driver\Cdrom \Device\CdRom0 893051F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8979B1F8
Device \Driver\Cdrom \Device\CdRom1 893051F8
Device \Driver\Cdrom \Device\CdRom2 893051F8
Device \Driver\sptd \Device\272527146 spqe.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 8945F500
Device \Driver\PCI_PNP8396 \Device\0000003f spqe.sys
Device \Driver\PCI_PNP8396 \Device\0000003f spqe.sys
Device \Driver\NetBT \Device\NetbiosSmb 8945F500
Device \Driver\usbohci \Device\USBFDO-0 892F01F8
Device \Driver\usbohci \Device\USBFDO-1 892F01F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 894BD500
Device \Driver\usbehci \Device\USBFDO-2 892D91F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 894BD500
Device \Driver\Ftdisk \Device\FtControl 8979B1F8
Device \Driver\a3suaks5 \Device\Scsi\a3suaks51 895581F8
Device \Driver\a3suaks5 \Device\Scsi\a3suaks51Port2Path0Target0Lun0 895581F8
Device \FileSystem\Fastfat \Fat 894B1500

AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

Device \FileSystem\Cdfs \Cdfs 894A8500

---- Threads - GMER 1.0.15 ----

Thread System [4:356] 89191790

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1B 0x06 0xA6 0xD8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x24 0x4A 0x15 0x50 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x66 0xDD 0x2A 0x68 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1B 0x06 0xA6 0xD8 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x24 0x4A 0x15 0x50 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x66 0xDD 0x2A 0x68 ...

---- EOF - GMER 1.0.15 ----

TEIL 5
 

marcusmc

Erfahrener Benutzer
#14
Hier noch das Ergebniss von SUPERAntiSpyWare:


SUPERAntiSpyware Scann-Protokoll
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generiert 08/23/2009 bei 05:12 PM

Version der Applikation : 4.27.1002

Version der Kern-Datenbank : 4067
Version der Spur-Datenbank : 2007

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:32:16

Gescannte Speicherelemente : 430
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 4656
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 38587
Erfasste Datei-Elemente : 0


Scheint OK zu sein .....
Oder erkennt ihr was anderes - besonders bei dem GMER-File?
 

McFly

Erfahrener Benutzer
#15
Nein, sieht soweit ganz gut aus. Keine Rootkits (hidden files) zu entdecken.

Anmerkung von mir zu Daemon Tools, ich finde diese Software nicht ganz koscher, sprich einige Ungereimtheiten tauchen bei dieser Software auf, auf die ich im moment noch nicht ausführlich eingehen möchte, du kannst selber entscheiden ob du es auf deinem Rechner belässt.

Bitte hab ein Auge auf deine Aktualität der Software, grade über Java/Flash/Adobe Reader ist es immer wieder möglich sich was einzufangen, bitte updaten und ältere Versionen dann löschen falls diese noch auf dem Rechner vorhanden sein sollten, und lösche so oft wie möglich deine Temp Ordner.
 

marcusmc

Erfahrener Benutzer
#16
JA, die updates verschiebe ich immer wieder ...

Wie lösche ich die Temp. Datein???????????? Dachte das machen der CCleaner, EasyCleaner und CleaningSuite?

Also Deamon Tools PRO oder eher CONTRA ? ;-)
 

Xiaolong

Erfahrener Benutzer
#17
Zum einen kannst du einen Cleaner verwenden wie du sie da aufgelistet hast oder du löscht den Inhalt von diesem Ordner

C:\Dokumente und Einstellungen\*NAME*\Lokale Einstellungen\Temp

Falls sich Dateien nicht löschen lassen sollten nimm einfach den Unlocker, der killt gnadenlos jede Datei.

Zum Thema Daemon Tools:

Ich persönlich halte die "ungereimtheiten" in diesem Programm für relativ harmlos. Was viel schlimmer ist, ist dass das Programm laut deutschem Recht verboten ist =)
 
Status
Nicht offen für weitere Antworten.
Oben