Spybot lässt sich nur umbenannt starten

[ForiX2a]

Hallo alle zusammen,

ich hoffe das mir vielleicht hier jemand weiterhelfen kann :}
Bei mir lässt sich Spybot nur starten wenn ich die SpybotSD.exe umbenenne (z.B. abc.exe).

Starte ich Spybot mit Orginalnamen,wird das Program sofort wieder beendet (taucht nur kurz im Processexplorer auf).

Ich habe bereits Spybot de- und neuinstalliert (upgedated mit spybotsd_includes.exe), da es auch mit den Updates vorher nicht mehr geklappt hat.
Der Scan mit der umbenannten abc.exe lieferte einen Fund (win32.FraudLoad).
Dieser wurde entfernt und tauchte nach Systemreboot und Erneutem Scan mit Spybot nicht mehr auf.
Allerdings, obwohl Spybot und als auch Antivir nichts mehr finden,läßt sich Spybot immernoch nicht normal starten.

Seit die Probleme mit Spybot aufgetaucht sind, lässt sich ausserdem mein Rechner nicht mehr in den Ruhezustand fahren."Ruhezustand wird vorbereitet..." taucht kurz auf und dann kehrt Windows zum normalen Desktop wieder zurück...

Ich könnte mir vorstellen das die Probleme zusammen hängen und durch ein Root Kit ausgelößt werden, deshalb hab ich mal mit dem RootAlyzer einen Deepscan durchgeführt.
Leider kenn ich mich gar nicht mit der Auswertung solcher Logs aus und erbitte deshalb hier Hilfe...

Danke schonmal im voraus fürs Durchlesen,
tami ^^ö

######## Logfile von RootAlyzer ######
// info: Rootkit removal help file
// copyright: (c) 2008-2009 Safer-Networking Ltd. All rights reserved.

:: RootAlyzer Results
File:"No admin in ACL","C:\WINXP\system32\KGyGaAvL.sys"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRen.bb"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRen.jpg"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRen.png"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRep.bb"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRep.jpg"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRep.png"
File:"Unknown ADS","C:\Home\Anwendungsdaten-AllUsers\TEMP:1489AFE4:$DATA"
File:"Unknown ADS","C:\Home\Anwendungsdaten-AllUsers\TEMP:24051EFF:$DATA"
File:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Office\Data\89397.bpc"
File:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Office\Data\OPA12.BAK"
File:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Office\Data\opa12.dat"
File:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Network\Connections\Pbk\rasphone.pbk"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users.OLD\Anwendungsdaten\Microsoft\Network\Connections\Pbk\rasphone.pbk"
File:"Unknown ADS","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1489AFE4:$DATA"
File:"Unknown ADS","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:24051EFF:$DATA"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Office\Data\89397.bpc"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Office\Data\OPA12.BAK"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Office\Data\opa12.dat"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Connections\Pbk\rasphone.pbk"
Directory:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Office\Data"
Directory:"No admin in ACL","C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Microsoft\Office\Data"
Directory:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Office\Data"

[raman]

Mache bitte einmal einen Rootkitscan mit Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html

Ein Kontrollscan mit Mbam kann auch nicht schaden:
http://www.trojaner-board.de/82699-m...tet-nicht.html

LAsse alle Mbam Funde bitte loeschen und poste bitte beide Reporte.

[ForiX2a]

Hallo Ralf,

danke erstmal für Deine schnelle Antwort.
Das mit dem Logfiles von Gmer und Mbam wird noch eine Weile dauern :{

Ich habe gestern gleich nach Deinem Post Gmer gestartet und der lief ziemlich lange. Heute Morgen war er fertig, aber nach der Ablage der der Ausgabe im Zwischenspeicher hat sich mein Rechner beim Öffnen einer neuer Textdatei komplett aufgehangen :{
Irgendend ein Process hat die kompletten Systemresourcen gefressen, so das nichts mehr ging, nicht mal ctrl+alt+del (Processmanager). Blieb mir nur Reset und natürlich war dann auch die Ausgabe im Zwischenspeicher futsch.

Also scanne ich mit Gmer jetzt nochmal und hoffe mal das Beste :}

Zwei Fragen aber schon mal zwischendurch.
Ist alles relevant/bedenklich, was Gmer ausgibt (imTab Rootkit/Maleware)? Weil die Liste war schon recht lang.
Und sollte der Scan über alle Platten laufen,oder reicht nur die Systemplatte?
Momentan lass ich den Scan über alle Platten laufen. Erscheint mir sinnvoller.

Liebe Grüße,
tami ^^ö

[ForiX2a]

Hmmm, kann man Beiträge auch löschen, wenn man sie ausversehn doppelt reinstellt hat?

[raman]

Die Systemplatte zu ueberpruefen sollte reichen und nein, loeschen kannst du deine Beitraege nicht....

[ForiX2a]

Sooo Ralf :}

da bin ich wieder. Erfolgreich was das GMER - Log angeht.
Ich poste das Logfile hier schon mal und lass derweil mbam ueber meinen grossen Pc laufen.

Puh ziemlich lange Liste o.O

Liebe Gruesse,
tami ^^ö

###### GMER Rootkit quick scan ######
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-09-17 13:26:34
Windows 5.1.2600 Service Pack 3
Running: 1t1e1ks9.exe; Driver: c:\Temp\pgldypog.sys


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwEnumerateKey [0xB9ED3A92]
SSDT sptd.sys ZwEnumerateValueKey [0xB9ED3E20]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A8BE1E8

---- EOF - GMER 1.0.15 ----


###### GMER Rootkit scan ######
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-09-17 13:27:33
Windows 5.1.2600 Service Pack 3
Running: 1t1e1ks9.exe; Driver: c:\Temp\pgldypog.sys


---- System - GMER 1.0.15 ----

SSDT BA7C347E ZwCreateKey
SSDT BA7C3474 ZwCreateThread
SSDT BA7C3483 ZwDeleteKey
SSDT BA7C348D ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xB9ED3A92]
SSDT sptd.sys ZwEnumerateValueKey [0xB9ED3E20]
SSDT BA7C3492 ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xB9ECE090]
SSDT BA7C3460 ZwOpenProcess
SSDT BA7C3465 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xB9ED3EF8]
SSDT sptd.sys ZwQueryValueKey [0xB9ED3D78]
SSDT BA7C349C ZwReplaceKey
SSDT BA7C3497 ZwRestoreKey
SSDT BA7C3488 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINXP\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B90D98AC 5 Bytes JMP 8A6C31C8
? System32\Drivers\a9zsyru6.SYS Das System kann den angegebenen Pfad nicht finden. !
? C:\WINXP\system32\Drivers\PROCEXP100.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINXP\system32\SearchIndexer.exe[1420] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINXP\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9ECEAB4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9ECEBFA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9ECEB7C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9ECF728] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9ECF5FE] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A8BE1E8
Device \Driver\usbuhci \Device\USBPDO-0 8A6941E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{33FF7030-E241-4717-A014-153F7D6562F6} 8A3CB650
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A84C1E8
Device \Driver\dmio \Device\DmControl\DmConfig 8A84C1E8
Device \Driver\dmio \Device\DmControl\DmPnP 8A84C1E8
Device \Driver\dmio \Device\DmControl\DmInfo 8A84C1E8
Device \Driver\usbuhci \Device\USBPDO-1 8A6941E8
Device \Driver\usbuhci \Device\USBPDO-2 8A6941E8
Device \Driver\usbuhci \Device\USBPDO-3 8A6941E8
Device \Driver\usbehci \Device\USBPDO-4 8A6671E8
Device \Driver\PCI_NTPNP6966 \Device\00000057 sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A8C01E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A8C01E8
Device \Driver\Cdrom \Device\CdRom0 8A6561E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A8C01E8
Device \Driver\Cdrom \Device\CdRom1 8A6561E8
Device \Driver\atapi \Device\Ide\IdePort0 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-22 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A3CB650
Device \Driver\usbhub \Device\00000083 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000084 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\NetBT \Device\NetbiosSmb 8A3CB650
Device \Driver\NetBT \Device\NetBT_Tcpip_{A0E9C6AA-9BD1-4010-9D61-EB0FB2B910CE} 8A3CB650
Device \Driver\usbuhci \Device\USBFDO-0 8A6941E8
Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-1 8A6941E8
Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-2 8A6941E8
Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89CE31E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{5BB354AA-B63C-4A9B-9891-AFAF4B443FF9} 8A3CB650
Device \Driver\usbuhci \Device\USBFDO-3 8A6941E8
Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89CE31E8
Device \Driver\usbehci \Device\USBFDO-4 8A6671E8
Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\0000007d hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\Ftdisk \Device\FtControl 8A8C01E8
Device \Driver\usbhub \Device\0000007e hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\0000007f hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\a9zsyru6 \Device\Scsi\a9zsyru61 8A5441E8
Device \Driver\a9zsyru6 \Device\Scsi\a9zsyru61Port3Path0Target0Lun0 8A5441E8
Device \FileSystem\Cdfs \Cdfs 89CB81E8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000c55ff630d
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000c55ff630d@000ad95f6602 0x87 0x0D 0xC4 0x5D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1575858999
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1700388487
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x4E 0x6E 0xDE 0x0B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x07 0x52 0x56 0xDF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xAB 0x40 0x1E 0x86 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x4E 0x6E 0xDE 0x0B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x07 0x52 0x56 0xDF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xF2 0xCF 0x47 0xC2 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000c55ff630d (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000c55ff630d@000ad95f6602 0x87 0x0D 0xC4 0x5D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x4E 0x6E 0xDE 0x0B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x07 0x52 0x56 0xDF ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xAB 0x40 0x1E 0x86 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2005DE97-96B3-4D40-746D-7E42C308BB2A}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2005DE97-96B3-4D40-746D-7E42C308BB2A}@paojpjbbhbendflhcfbddlknhfnddbjn 0x6A 0x61 0x70 0x6B ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2005DE97-96B3-4D40-746D-7E42C308BB2A}@oaeknojcdknhkfclngefkkmnmgbkni 0x6A 0x61 0x70 0x6B ...

---- EOF - GMER 1.0.15 ----

[raman]

Dann bitte noch den Mbam Report und ich bin zufrieden...

[ForiX2a]

Hallo Ralf ^^

Malwarebytes-Report ist in Arbeit :}

Malewarebytes liess sich auch erst nach Umbenennung starten.
Genauso wie bei Spybot wurde die exe sofort wieder beendet.

Ich bin in jedem Fall gespannt, was dabei rauskommt.

Liebe Gruesse,
tami ^^ö

[ForiX2a]

Hi Ralf,

jetzt bin ich durch :}
Malwarebytes hat doch noch einiges gefunden.

Aber das siehst Du ja am Logfile sicher selber.

Hab das bereinigt und den Rechner neugestartet.

Hier das entsprechende Logfile.

Liebe Gruesse,
tami ^^ö

########## Malwarebytes' Anti-Malware 1.46 ##########
www.malwarebytes.org

Datenbank Version: 4638

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.09.2010 16:53:21
mbam-log-2010-09-17 (16-53-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 609902
Laufzeit: 2 Stunde(n), 23 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Netspeed (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Downloads\!---Installiert\Perfect Disk 7_c\keygen\tmg-rpd7.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Downloads\!---Installiert\xp-wpa (1)\Crypt.dll (Hacktool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{110E5784-C2FA-4F68-B82A-13F3391D4027}\RP163\A0063533.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F6C69305-6D79-448A-9630-A001240259FA}\RP833\A0164321.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Programme\Netspeed\netspeed.exe (Adware.Agent) -> Quarantined and deleted successfully.

[ForiX2a]

Hallo Ralf,

noch eine Anmerkung. Nach Bereinigung durch Malwarebytes und Neustart des Rechners, lassen sich immernoch nicht SpybotSD.exe sowie mbam.exe starten. :{ (starten nur umbenannt)

Liebe Gruesse,
tami ^^ö