Log überprüfen

[Clockwork]

ich hab mal mit Combofix mein rechner gecheckt da bei spybot immer Virtumod.dll steht hier der log bitte um überprüfung von Virtumod oder noch andere schädlinge kann auch wen erwünscht ist hijack log machen. mfg Clockwork

ComboFix 09-01-01.02 - Admin 2009-01-02 19:36:53.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2047.1805 [GMT 4.5:30]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-02 bis 2009-01-02 ))))))))))))))))))))))))))))))
.

2009-01-02 07:59 . 2009-01-02 07:59 <DIR> d-------- c:\winxp\ERUNT
2009-01-02 07:58 . 2008-12-27 16:52 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-01-02 07:58 . 2008-12-27 16:48 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-01-02 07:58 . 2008-12-27 16:48 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-01-02 07:58 . 2009-01-02 19:38 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-01-02 07:58 . 2008-12-27 16:48 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-01-02 07:58 . 2008-12-27 16:48 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-01-02 07:58 . 2008-12-27 16:48 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-01-02 07:58 . 2009-01-02 07:58 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-01-02 07:26 . 2009-01-02 07:33 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-01-02 06:52 . 2009-01-02 06:52 <DIR> d-------- c:\programme\Alwil Software
2009-01-02 03:58 . 2009-01-02 07:21 <DIR> d-------- c:\programme\Yahoo!
2009-01-02 03:58 . 2009-01-02 03:58 <DIR> d-------- c:\programme\CCleaner
2009-01-02 03:58 . 2009-01-02 03:58 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Yahoo!
2009-01-02 03:48 . 2009-01-02 03:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-02 03:48 . 2009-01-02 03:48 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2009-01-02 02:23 . 2009-01-02 04:10 123 --a------ c:\winxp\wininit.ini
2009-01-01 07:50 . 2009-01-01 07:50 <DIR> d-------- c:\programme\ZoneAlarmSB
2009-01-01 07:49 . 2009-01-01 07:49 <DIR> d-------- c:\winxp\system32\ZoneLabs
2009-01-01 07:49 . 2009-01-01 07:49 <DIR> d-------- c:\programme\Zone Labs
2009-01-01 07:49 . 2008-08-21 20:41 1,221,008 --a------ c:\winxp\system32\zpeng25.dll
2009-01-01 07:49 . 2009-01-02 18:48 348,371 --a------ c:\winxp\system32\vsconfig.xml
2009-01-01 06:11 . 2009-01-01 06:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-01-01 06:10 . 2009-01-01 07:49 4,212 --ah----- c:\winxp\system32\zllictbl.dat
2009-01-01 06:09 . 2009-01-02 19:21 <DIR> d-------- c:\winxp\Internet Logs
2009-01-01 04:40 . 2009-01-01 06:15 <DIR> d-------- c:\programme\Google
2009-01-01 03:41 . 2009-01-01 03:47 111,616 --a------ c:\winxp\system32\BotCHook.dll
2008-12-31 20:12 . 2008-12-31 20:12 <DIR> d-------- c:\winxp\system32\LogFiles
2008-12-31 20:12 . 2008-12-31 20:30 202,040 --a------ c:\winxp\system32\PnkBstrB.exe
2008-12-31 20:12 . 2008-12-31 20:30 137,688 --a------ c:\winxp\system32\drivers\PnkBstrK.sys
2008-12-31 20:12 . 2008-12-31 20:12 66,872 --a------ c:\winxp\system32\PnkBstrA.exe
2008-12-30 20:12 . 2009-01-02 19:13 754 --a------ c:\winxp\WORDPAD.INI
2008-12-30 18:35 . 2009-01-01 20:00 <DIR> d-------- c:\programme\Silkroad
2008-12-30 04:01 . 2008-12-30 04:01 <DIR> d-------- c:\dokumente und einstellungen\Admin\.thumbnails
2008-12-30 03:51 . 2008-12-31 14:53 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\gtk-2.0
2008-12-30 03:43 . 2008-12-31 22:17 <DIR> d-------- c:\dokumente und einstellungen\Admin\.gimp-2.6
2008-12-30 03:42 . 2008-12-30 03:42 <DIR> d-------- c:\programme\GIMP-2.0
2008-12-30 03:42 . 2008-12-30 03:42 <DIR> d-------- c:\dokumente und einstellungen\Admin\.gegl-0.0
2008-12-29 20:07 . 2005-01-22 23:42 679,936 --a------ c:\winxp\system32\D3DX81ab.dll
2008-12-28 18:21 . 2008-12-28 18:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-12-28 18:21 . 2008-12-28 18:22 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\ICQ
2008-12-28 18:20 . 2008-12-28 18:22 <DIR> d-------- c:\programme\ICQ6.5
2008-12-28 15:55 . 2008-12-28 15:55 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2008-12-28 15:55 . 2008-12-28 15:55 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\DAEMON Tools Pro
2008-12-28 15:55 . 2008-12-28 15:55 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\DAEMON Tools
2008-12-28 15:54 . 2008-12-28 15:59 <DIR> d-------- c:\programme\DAEMON Tools Toolbar
2008-12-28 15:54 . 2008-12-29 12:32 <DIR> d-------- c:\programme\DAEMON Tools Lite
2008-12-28 15:51 . 2008-12-28 15:56 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\DAEMON Tools Lite
2008-12-28 15:51 . 2008-12-28 15:51 717,296 --a------ c:\winxp\system32\drivers\sptd.sys
2008-12-28 15:43 . 2008-12-28 15:43 35 --a------ c:\winxp\Worldbuilder.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-02 15:00 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Xfire
2009-01-02 02:57 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-01 17:52 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\teamspeak2
2008-12-28 13:51 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-27 12:27 --------- d-----w c:\programme\microsoft frontpage
2008-12-27 12:24 --------- d-----w c:\programme\Online-Dienste
2008-12-27 12:24 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-27 12:22 --------- d-----w c:\programme\Windows Media Connect 2
2008-12-27 11:45 1,700,352 ----a-w c:\winxp\system32\gdiplus.dll
2008-12-27 11:32 --------- d--h--r c:\dokumente und einstellungen\Admin\Anwendungsdaten\SecuROM
2008-12-27 11:31 --------- d-----w c:\programme\Microsoft Games for Windows - LIVE
2008-12-27 11:05 107,888 ----a-w c:\winxp\system32\CmdLineExt.dll
2008-12-27 10:21 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2008-12-27 09:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2008-12-27 09:52 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\ATI
2008-12-27 09:46 --------- d-----w c:\programme\Xfire
2008-12-27 09:46 --------- d-----w c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-12-27 09:45 --------- d-----w c:\programme\Teamspeak2_RC2
2008-12-27 09:38 --------- d-----w c:\programme\Opera
2008-12-27 09:37 --------- d-----w c:\programme\Trend Micro
2008-12-27 09:34 603,904 ----a-w c:\winxp\system32\TUProgSt.exe
2008-12-27 09:34 360,192 ----a-w c:\winxp\system32\TuneUpDefragService.exe
2008-12-27 09:34 --------- d-----w c:\programme\TuneUp Utilities 2009
2008-12-27 09:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-27 09:34 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\TuneUp Software
2008-12-27 09:33 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-27 09:31 --------- d-----w c:\programme\Reference Assemblies
2008-12-27 09:31 --------- d-----w c:\programme\MSBuild
2008-12-27 09:11 --------- d-----w c:\programme\Realtek
2008-12-27 09:10 --------- d-----w c:\programme\Intel
2008-12-27 09:06 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-27 09:06 --------- d-----w c:\programme\ATI Technologies
2008-12-27 09:06 --------- d-----w c:\programme\ATI
2008-12-11 20:38 42,320 ----a-w c:\winxp\system32\xfcodec.dll
2008-12-11 09:01 27,904 ----a-w c:\winxp\system32\uxtuneup.dll
2008-12-10 16:35 86,073 ----a-w c:\winxp\system32\usrfaxa.dll
2008-12-10 16:32 286,720 ----a-w c:\winxp\system32\gdi32.dll
2008-12-10 16:32 247,326 ----a-w c:\winxp\system32\strmdll.dll
2008-12-10 16:30 455,936 ----a-w c:\winxp\system32\drivers\mrxsmb.sys
2008-12-10 16:30 1,847,040 ----a-w c:\winxp\system32\win32k.sys
2008-12-10 16:30 1,379,840 ----a-w c:\winxp\system32\msxml6.dll
2008-12-10 16:30 1,106,944 ----a-w c:\winxp\system32\msxml3.dll
2008-12-10 15:33 8,704 ----a-w c:\winxp\system32\wdfmgr.exe
2008-12-10 15:31 78,336 ----a-w c:\winxp\system32\ieencode.dll
2008-12-01 22:13 3,452,928 ----a-w c:\winxp\system32\drivers\ati2mtag.sys
2008-12-01 20:52 425,984 ----a-w c:\winxp\system32\ATIDEMGX.dll
2008-12-01 20:51 318,464 ----a-w c:\winxp\system32\ati2dvag.dll
2008-12-01 20:46 11,304,960 ----a-w c:\winxp\system32\atioglxx.dll
2008-12-01 20:41 188,416 ----a-w c:\winxp\system32\atipdlxx.dll
2008-12-01 20:40 43,520 ----a-w c:\winxp\system32\ati2edxx.dll
2008-12-01 20:40 26,112 ----a-w c:\winxp\system32\Ati2mdxx.exe
2008-12-01 20:40 147,456 ----a-w c:\winxp\system32\Oemdspif.dll
2008-12-01 20:40 143,360 ----a-w c:\winxp\system32\ati2evxx.dll
2008-12-01 20:38 598,016 ----a-w c:\winxp\system32\ati2evxx.exe
2008-12-01 20:37 53,248 ----a-w c:\winxp\system32\ATIDDC.DLL
2008-12-01 20:27 4,120,384 ----a-w c:\winxp\system32\ati3duag.dll
2008-12-01 20:19 307,200 ----a-w c:\winxp\system32\atiiiexx.dll
2008-12-01 20:11 2,495,360 ----a-w c:\winxp\system32\ativvaxx.dll
2008-12-01 19:57 48,640 ----a-w c:\winxp\system32\amdpcom32.dll
2008-12-01 19:53 45,056 ----a-w c:\winxp\system32\amdcalrt.dll
2008-12-01 19:53 45,056 ----a-w c:\winxp\system32\amdcalcl.dll
2008-12-01 19:53 401,408 ----a-w c:\winxp\system32\atikvmag.dll
2008-12-01 19:52 86,016 ----a-w c:\winxp\system32\atiadlxx.dll
2008-12-01 19:52 17,408 ----a-w c:\winxp\system32\atitvo32.dll
2008-12-01 19:51 53,248 ----a-w c:\winxp\system32\drivers\ati2erec.dll
2008-12-01 19:50 3,252,224 ----a-w c:\winxp\system32\Amdcaldd.dll
2008-12-01 19:50 286,720 ----a-w c:\winxp\system32\atiok3x2.dll
2008-12-01 19:45 577,536 ----a-w c:\winxp\system32\ati2cqag.dll
2008-12-01 10:05 593,920 ------w c:\winxp\system32\ati2sgag.exe
2008-10-28 13:11 14,303,392 ----a-w c:\winxp\system32\xlive.dll
2008-10-28 13:11 13,643,936 ----a-w c:\winxp\system32\xlivefnt.dll
2008-10-21 18:51 118,784 ----a-w c:\winxp\system32\atibrtmon.exe
2008-10-16 19:04 826,368 ----a-w c:\winxp\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-08-21 981904]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 c:\winxp\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\winxp\SkyTel.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"RGSC"=d:\rockstar game social club\Rockstar Games Social Club\RGSCLauncher.exe /silent
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent
"CTFMON.EXE"=c:\winxp\system32\ctfmon.exe
"Steam"="d:\steam top\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATICustomerCare"="c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Xfire\\Xfire.exe"=
"d:\\Warcraft III\\Warcraft III.exe"=
"d:\\Rockstar Game Social Club\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"d:\\Grand Theft Auto IV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"d:\\Grand Theft Auto IV\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Warcraft III\\war3.exe"=
"d:\\Steam top\\steamapps\\antik915798\\opposing force\\hl.exe"=
"d:\\Steam top\\steamapps\\antik915798\\counter-strike source\\hl2.exe"=
"d:\\Steam top\\steamapps\\common\\call of duty 4\\iw3mp.exe"=
"c:\\Programme\\Opera\\opera.exe"=

S1 aswSP;avast! Self Protection;c:\winxp\system32\drivers\aswSP.sys [2009-01-02 111184]
S2 aswFsBlk;aswFsBlk;c:\winxp\system32\DRIVERS\aswFsBlk.sys [2009-01-02 20560]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\winxp\System32\TUProgSt.exe [2008-12-27 603904]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-02 c:\winxp\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
.
------- Zusätzlicher Suchlauf -------
.
mWindow Title =
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\3ecxmx0e.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPZoneSB.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-02 19:38:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(240)
c:\winxp\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-01-02 19:39:22
ComboFix-quarantined-files.txt 2009-01-02 15:09:11

Vor Suchlauf: 11 Verzeichnis(se), 13.124.403.200 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 13,115,781,120 Bytes frei

210

 

[raman]

Hallo Clockwork,

Interessanter waere zu erfahren, was Spybot wo meldet...

 

[Clockwork]

wo er das anzeigt wen man überprüft bei der überprüfung so in der mitter fängt der schon an bis zum ende Virtumod.dll ,Virtumod.generic, Virtumod.crack. Virtumod.sci Virtumodm.sdn fg Clockwork

 

[raman]

Poste bitte den Teil des Spybot Reports. Einfach ins weisse Ergebnissfenster mit der rechten Maustaste klicken und entsprechend kopieren und einfuegen...

 

[Clockwork]

Ist das das hier?

02.01.2009 03:37:44 Erlaubt (based on user decision) value "SpybotDeletingA418" (new data: "") gelöscht in System Startup global entry!
02.01.2009 03:37:46 Erlaubt (based on user decision) value "SpybotDeletingC3920" (new data: "") gelöscht in System Startup global entry!
02.01.2009 03:37:48 Erlaubt (based on user decision) value "SpybotDeletingB9354" (new data: "") gelöscht in System Startup user entry!
02.01.2009 03:37:50 Erlaubt (based on user decision) value "SpybotDeletingD5955" (new data: "") gelöscht in System Startup user entry!
02.01.2009 03:49:32 Erlaubt (based on user decision) value "Malwarebytes' Anti-Malware" (new data: "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent") hinzugefügt in System Startup global entry!
02.01.2009 03:56:13 Erlaubt (based on user decision) value "Malwarebytes' Anti-Malware" (new data: ""C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray") hinzugefügt in System Startup global entry!
02.01.2009 03:58:18 Verweigert (based on user decision) value "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" (new data: "hex:00") hinzugefügt in Global browser toolbar!
02.01.2009 03:58:26 Verweigert (based on user decision) value "{02478D38-C3F9-4efb-9B51-7695ECA05670}" (new data: "") hinzugefügt in Browser Helper Object!
02.01.2009 03:58:30 Erlaubt (based on user decision) value "{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}" (new data: "") hinzugefügt in Browser Helper Object!
02.01.2009 03:58:33 Erlaubt (based on user decision) value "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" (new data: "") hinzugefügt in Internet Explorer searches!
02.01.2009 04:10:44 Erlaubt (based on user decision) value "SpybotDeletingB9553" (new data: "command /c del "C:\WINXP\SchedLgU.Txt"") hinzugefügt in System Startup user entry!
02.01.2009 04:10:45 Erlaubt (based on user decision) value "SpybotDeletingD7000" (new data: "cmd /c del "C:\WINXP\SchedLgU.Txt"") hinzugefügt in System Startup user entry!
02.01.2009 04:10:46 Erlaubt (based on user decision) value "SpybotDeletingA8972" (new data: "command /c del "C:\WINXP\SchedLgU.Txt"") hinzugefügt in System Startup global entry!
02.01.2009 04:10:47 Erlaubt (based on user decision) value "SpybotDeletingC4368" (new data: "cmd /c del "C:\WINXP\SchedLgU.Txt"") hinzugefügt in System Startup global entry!
02.01.2009 04:45:18 Erlaubt (based on user decision) value "SpybotDeletingB9553" (new data: "") gelöscht in System Startup user entry!
02.01.2009 04:45:20 Erlaubt (based on user decision) value "SpybotDeletingD7000" (new data: "") gelöscht in System Startup user entry!
02.01.2009 04:45:20 Erlaubt (based on user decision) value "Malwarebytes' Anti-Malware" (new data: "") gelöscht in System Startup global entry!
02.01.2009 04:45:20 Erlaubt (based on user decision) value "SpybotDeletingA8972" (new data: "") gelöscht in System Startup global entry!
02.01.2009 04:45:21 Erlaubt (based on user decision) value "SpybotDeletingC4368" (new data: "") gelöscht in System Startup global entry!
02.01.2009 04:45:24 Erlaubt (based on lassh blacklist) value "ctfmon.exe" (new data: "C:\WINXP\system32\ctfmon.exe") hinzugefügt in System Startup user entry!
02.01.2009 04:46:12 Erlaubt (based on user decision) value "Malwarebytes' Anti-Malware" (new data: "") gelöscht in System Startup global entry!
02.01.2009 06:26:43 Erlaubt (based on user decision) value "BootExecute" (new data: "autocheck autochk *
aswBoot.exe /A:"*" /L:"German" /KBD:2
") geändert in Session manager!
02.01.2009 06:26:51 Erlaubt (based on user decision) value "BootExecute" (new data: "autocheck autochk *
") geändert in Session manager!
02.01.2009 06:38:36 Erlaubt (based on user decision) value "avast!" (new data: "") gelöscht in System Startup global entry!
02.01.2009 06:42:08 Erlaubt (based on user decision) value "RGSC" (new data: "") gelöscht in System Startup user entry!
02.01.2009 06:43:15 Erlaubt (based on user decision) value "avast!" (new data: "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe") hinzugefügt in System Startup global entry!
02.01.2009 06:43:20 Erlaubt (based on user decision) value "BootExecute" (new data: "autocheck autochk *
aswBoot.exe /A:"*" /L:"German" /KBD:2
") geändert in Session manager!
02.01.2009 06:45:29 Erlaubt (based on user decision) value "BootExecute" (new data: "autocheck autochk *
") geändert in Session manager!
02.01.2009 06:48:07 Erlaubt (based on user decision) value "avast!" (new data: "") gelöscht in System Startup global entry!
02.01.2009 06:52:49 Erlaubt (based on user decision) value "avast!" (new data: "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe") hinzugefügt in System Startup global entry!
02.01.2009 06:57:11 Erlaubt (based on user decision) value "aswAhAScr.dll" (new data: "C:\PROGRA~1\ALWILS~1\Avast4\ASWREG~1.EXE "C:\Programme\Alwil Software\Avast4\AhAScr.dll"") hinzugefügt in System Startup global entry!
02.01.2009 07:00:58 Erlaubt (based on user decision) value "aswAhAScr.dll" (new data: "") gelöscht in System Startup global entry!
02.01.2009 07:21:30 Erlaubt (based on user decision) value "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" (new data: "") gelöscht in Internet Explorer searches!
02.01.2009 07:21:40 Erlaubt (based on user decision) value "{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}" (new data: "") gelöscht in Browser Helper Object!
02.01.2009 07:21:58 Erlaubt (based on user decision) value "SpybotSD TeaTimer" (new data: "") gelöscht in System Startup user entry!
02.01.2009 07:21:59 Erlaubt (based on user decision) value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") gelöscht in Browser Helper Object!
02.01.2009 08:16:43 Erlaubt (based on user decision) value "SpybotSD TeaTimer" (new data: "") gelöscht in System Startup user entry!
02.01.2009 09:08:40 Erlaubt (based on user decision) value "AutoRun" (new data: "") gelöscht in Command processor!
02.01.2009 09:19:41 Erlaubt (based on authenticode whitelist) value "SpybotSD TeaTimer" (new data: "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe") hinzugefügt in System Startup user entry!
02.01.2009 17:37:11 Erlaubt (based on user decision) value "SpybotSD TeaTimer" (new data: "") gelöscht in System Startup user entry!
02.01.2009 17:51:22 Erlaubt (based on authenticode whitelist) value "SpybotSD TeaTimer" (new data: "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe") hinzugefügt in System Startup user entry!
02.01.2009 19:42:36 Erlaubt (based on user decision) value "DisableCMD" (new data: "0") hinzugefügt in Disable Command!

 

[Clockwork]

oder das hier?


--- Spybot - Search & Destroy version: 1.6.0 (build: 20080707) ---

2008-07-07 blindman.exe (1.0.0.8)
2008-07-07 SDFiles.exe (1.6.0.4)
2008-07-07 SDMain.exe (1.0.0.6)
2008-07-07 SDShred.exe (1.0.2.3)
2008-07-07 SDUpdate.exe (1.6.0.8)
2008-07-07 SDWinSec.exe (1.0.0.12)
2008-07-07 SpybotSD.exe (1.6.0.30)
2008-09-16 TeaTimer.exe (1.6.3.25)
2009-01-02 unins000.exe (51.49.0.0)
2008-07-07 Update.exe (1.6.0.7)
2008-10-22 advcheck.dll (1.6.2.13)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2008-10-22 Tools.dll (2.1.6.8)
2008-11-04 Includes\Adware.sbi
2008-12-29 Includes\AdwareC.sbi
2008-06-03 Includes\Cookies.sbi
2008-09-02 Includes\Dialer.sbi
2008-09-09 Includes\DialerC.sbi
2008-07-23 Includes\HeavyDuty.sbi
2008-11-18 Includes\Hijackers.sbi
2008-12-22 Includes\HijackersC.sbi
2008-12-09 Includes\Keyloggers.sbi
2008-12-22 Includes\KeyloggersC.sbi
2004-11-29 Includes\LSP.sbi
2008-11-18 Includes\Malware.sbi
2008-12-29 Includes\MalwareC.sbi
2008-12-16 Includes\PUPS.sbi
2008-12-16 Includes\PUPSC.sbi
2007-11-07 Includes\Revision.sbi
2008-06-18 Includes\Security.sbi
2008-12-29 Includes\SecurityC.sbi
2008-06-03 Includes\Spybots.sbi
2008-06-03 Includes\SpybotsC.sbi
2008-12-10 Includes\Spyware.sbi
2008-12-10 Includes\SpywareC.sbi
2008-06-03 Includes\Tracks.uti
2008-12-29 Includes\Trojans.sbi
2008-12-29 Includes\TrojansC.sbi
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll


--- System information ---
Windows XP (Build: 2600) Service Pack 3 (5.1.2600)
/ Windows / SP1: Microsoft Internationalized Domain Names Mitigation APIs
/ Windows / SP1: Microsoft National Language Support Downlevel APIs
/ Windows Media Format 11 SDK: Hotfix for Windows Media Format 11 SDK (KB929399)
/ Windows Media Player: Sicherheitsupdate für Windows Media Player (KB952069)
/ Windows Media Player 11: Sicherheitsupdate für Windows Media Player 11 (KB936782)
/ Windows Media Player 11: Hotfix für Windows Media Player 11 (KB939683)
/ Windows Media Player 11: Sicherheitsupdate für Windows Media Player 11 (KB954154)
/ Windows XP: Sicherheitsupdate für Windows XP (KB941569)
/ Windows XP / SP0: Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
/ Windows XP / SP0: Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
/ Windows XP / SP3: Update für Windows XP (KB898461)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB938464)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB946648)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950762)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950974)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951066)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951376-v2)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951698)
/ Windows XP / SP4: Update für Windows XP (KB951978)
/ Windows XP / SP4: Hotfix für Windows XP (KB952287)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB952954)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954211)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954459)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954600)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB955069)
/ Windows XP / SP4: Update für Windows XP (KB955839)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956391)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956802)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956803)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956841)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB957095)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB957097)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958644)
/ XML Paper Specification Shared Components Pack 1.0: XML Paper Specification Shared Components Pack 1.0


--- Startup entries list ---
Located: HK_LM:Run, avast!
command: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
file: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
size: 81000
MD5: 55EBFBAB39BFAB5E62358C093F297641

Located: HK_LM:Run, RTHDCPL
command: RTHDCPL.EXE
file: C:\WINXP\RTHDCPL.EXE
size: 16261632
MD5: 10B0722C7203181B0C50C6CB974D2F2A

Located: HK_LM:Run, SkyTel
command: SkyTel.EXE
file: C:\WINXP\SkyTel.EXE
size: 2879488
MD5: C74B86642F131D76C0EDE673FDF137B2

Located: HK_LM:Run, StartCCC
command: "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
file: C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
size: 61440
MD5: 2659F9B422673A98D5629FA3294F5DF3

Located: HK_LM:Run, ZoneAlarm Client
command: "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
file: C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
size: 981904
MD5: 36FDDBCCA07A2CD5F127CDF9622D4E56

Located: HK_LM:Run, ATICustomerCare (DISABLED)
command: "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
file: C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe
size: 307200
MD5: E25A8B86F694EE7F8D0BE981F558EFBD

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: .DEFAULT...
command: C:\WINXP\system32\CTFMON.EXE
file: C:\WINXP\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, CTFMON.EXE
where: PE_C_ADMINISTRATOR...
command: C:\WINXP\system32\CTFMON.EXE
file: C:\WINXP\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:RunOnce, _nltide_2
where: PE_C_ADMINISTRATOR...
command: regsvr32 /s /n /i:U shell32
file: regsvr32 /s /n /i:U shell32
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: S-1-5-19...
command: C:\WINXP\system32\CTFMON.EXE
file: C:\WINXP\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: S-1-5-20...
command: C:\WINXP\system32\CTFMON.EXE
file: C:\WINXP\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, ctfmon.exe
where: S-1-5-21-746137067-1708537768-1801674531-1003...
command: C:\WINXP\system32\ctfmon.exe
file: C:\WINXP\system32\ctfmon.exe
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, SpybotSD TeaTimer
where: S-1-5-21-746137067-1708537768-1801674531-1003...
command: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
file: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
size: 1833296
MD5: 63B3FF83B87AFCEBA89CED54695DA0F6

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: S-1-5-21-746137067-1708537768-1801674531-1003...
command: C:\WINXP\system32\ctfmon.exe
file: C:\WINXP\system32\ctfmon.exe
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, ICQ (DISABLED)
where: S-1-5-21-746137067-1708537768-1801674531-1003...
command: "C:\Programme\ICQ6.5\ICQ.exe" silent
file: C:\Programme\ICQ6.5\ICQ.exe
size: 172792
MD5: B1246330B56791AC4C4CEA47BB960920

Located: HK_CU:Run, RGSC (DISABLED)
where: S-1-5-21-746137067-1708537768-1801674531-1003...
command: D:\Rockstar Game Social Club\Rockstar Games Social Club\RGSCLauncher.exe /silent
file: D:\Rockstar Game Social Club\Rockstar Games Social Club\RGSCLauncher.exe
size: 306088
MD5: 5FAC39546E97A2ED6AB9EBB3D3BE906E

Located: HK_CU:Run, Steam (DISABLED)
where: S-1-5-21-746137067-1708537768-1801674531-1003...
command: "D:\Steam top\Steam.exe" -silent
file: D:\Steam top\Steam.exe
size: 1410296
MD5: E2F041F209D4ADDA9882778A11EAB922

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: S-1-5-18...
command: C:\WINXP\system32\CTFMON.EXE
file: C:\WINXP\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: WinLogon, AtiExtEvent
command: Ati2evxx.dll
file: Ati2evxx.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, dimsntfy
command: %SystemRoot%\System32\dimsntfy.dll
file: %SystemRoot%\System32\dimsntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!



--- Browser helper object list ---
{53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: Spybot-S&D IE Protection
description: Spybot-S&D IE Browser plugin
classification: Legitimate
known filename: SDhelper.dll
info link: http://spybot.eon.net.au/
info source: Patrick M. Kolla
Path: C:\PROGRA~1\SPYBOT~1\
Long name: SDHelper.dll
Short name:
Date (created): 02.01.2009 07:27:00
Date (last access): 02.01.2009 21:42:16
Date (last write): 15.09.2008 14:25:44
Filesize: 1562960
Attributes: readonly hidden sysfile archive
MD5: 35F73F1936BDE91F1B6995510A61E7A8
CRC32: BE6A5D15
Version: 1.6.2.14



--- ActiveX list ---


--- Process list ---
PID: 0 ( 0) [System]
PID: 724 ( 4) \SystemRoot\System32\smss.exe
size: 50688
PID: 804 ( 724) \??\C:\WINXP\system32\csrss.exe
size: 6144
PID: 908 ( 724) \??\C:\WINXP\system32\winlogon.exe
size: 513024
PID: 952 ( 908) C:\WINXP\system32\services.exe
size: 109056
MD5: 4BB6A83640F1D1792AD21CE767B621C6
PID: 964 ( 908) C:\WINXP\system32\lsass.exe
size: 13312
MD5: AFB8261B56CBA0D86AEB6DF682AF9785
PID: 1136 ( 952) C:\WINXP\system32\Ati2evxx.exe
size: 598016
MD5: ECA673779ECD27D674953D692FE070F6
PID: 1152 ( 952) C:\WINXP\system32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 1204 ( 952) C:\WINXP\system32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 1264 ( 952) C:\WINXP\System32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 1344 ( 952) C:\WINXP\system32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 1372 ( 952) C:\WINXP\system32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 1408 ( 952) C:\WINXP\system32\ZoneLabs\vsmon.exe
size: 2405776
MD5: 6E86D03D8A81CF53E17FE57AAD108659
PID: 1520 ( 908) C:\WINXP\system32\Ati2evxx.exe
size: 598016
MD5: ECA673779ECD27D674953D692FE070F6
PID: 1808 (1784) C:\WINXP\Explorer.EXE
size: 1036800
MD5: 418045A93CD87A352098AB7DABE1B53E
PID: 2008 ( 952) C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
size: 18752
MD5: 118F964817982E771B8953DF2E99E3AB
PID: 176 ( 952) C:\Programme\Alwil Software\Avast4\ashServ.exe
size: 155160
MD5: E1D075B489A5E6E294E968501184C5F6
PID: 608 ( 952) C:\WINXP\system32\spoolsv.exe
size: 57856
MD5: 39356A9CDB6753A6D13A4072A9F5A4BB
PID: 1940 ( 952) C:\WINXP\system32\PnkBstrA.exe
size: 66872
MD5: 19E83B09AB8EE1D837665DA941E2AC44
PID: 224 ( 952) C:\WINXP\system32\PnkBstrB.exe
size: 202040
MD5: D27C75A9690CAEE8B29CFEC2274CB6FE
PID: 308 ( 952) C:\WINXP\System32\TUProgSt.exe
size: 603904
MD5: 02E5F68A55CD413C5BFB9F2DF677DD01
PID: 2072 ( 952) C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
size: 254040
MD5: 2D697C9C4FBDA956E4BE318C334CD95E
PID: 2104 ( 952) C:\Programme\Alwil Software\Avast4\ashWebSv.exe
size: 352920
MD5: B9FD2B7A954A45963C3BF932DB10A633
PID: 2380 ( 952) C:\WINXP\System32\alg.exe
size: 44544
MD5: 190CD73D4984F94D823F9444980513E5
PID: 2568 (1264) C:\WINXP\system32\wscntfy.exe
size: 13824
MD5: EDAFBE25FB6480CE68F688BA691890DC
PID: 2748 (2740) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
size: 49152
MD5: 33C014C1709F7222CEFF61B780EDC967
PID: 2756 (1808) C:\WINXP\RTHDCPL.EXE
size: 16261632
MD5: 10B0722C7203181B0C50C6CB974D2F2A
PID: 2780 (1808) C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
size: 981904
MD5: 36FDDBCCA07A2CD5F127CDF9622D4E56
PID: 2792 (1808) C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
size: 81000
MD5: 55EBFBAB39BFAB5E62358C093F297641
PID: 2800 (1808) C:\WINXP\system32\ctfmon.exe
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2
PID: 2812 (1808) C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
size: 1833296
MD5: 63B3FF83B87AFCEBA89CED54695DA0F6
PID: 2960 (2748) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
size: 49152
MD5: BA7D56C1F3DD385EE58ADDA14C6FFB54
PID: 2824 (1808) C:\Programme\Xfire\Xfire.exe
size: 2990416
MD5: 688703E6739473CF479B07BF3F2CB058
PID: 1300 (1808) C:\Programme\ICQ6.5\ICQ.exe
size: 172792
MD5: B1246330B56791AC4C4CEA47BB960920
PID: 3788 (1808) D:\pennergamebot\pennerbot_gui_0.6beta_win32.exe
size: 8234590
MD5: 3F793C38CDCE9EA40954B8022D3DAFB7
PID: 868 (3788) D:\pennergamebot\pennerbot_gui_0.6beta_win32.exe
size: 8234590
MD5: 3F793C38CDCE9EA40954B8022D3DAFB7
PID: 3188 (1808) D:\pennergamebot\pennerbot_gui_0.6beta_win32.exe
size: 8234590
MD5: 3F793C38CDCE9EA40954B8022D3DAFB7
PID: 628 (3188) D:\pennergamebot\pennerbot_gui_0.6beta_win32.exe
size: 8234590
MD5: 3F793C38CDCE9EA40954B8022D3DAFB7
PID: 296 (1808) C:\Programme\Opera\opera.exe
size: 98816
MD5: B211478A9B1CB7353AD2103862234CD2
PID: 2992 ( 952) C:\WINXP\system32\svchost.exe
size: 14336
MD5: 4FBC75B74479C7A6F829E0CA19DF3366
PID: 3592 (2812) C:\WINXP\system32\NOTEPAD.EXE
size: 70144
MD5: 8A29B5B5A881C6709F31FF5203F0FAC9
PID: 4084 (2812) C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
size: 4891472
MD5: 3B1B5D09D3C9C4CD39D4DB06ED7A0855
PID: 4 ( 0) System


--- Browser start & search pages list ---
Spybot - Search & Destroy browser pages report, 02.01.2009 22:23:55

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINXP\system32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.msn.com/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
%SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
http://go.microsoft.com/fwlink/?LinkId=54896
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.msn.com/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
http://go.microsoft.com/fwlink/?LinkId=69157
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
http://go.microsoft.com/fwlink/?LinkId=54896
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---
Protocol 0: MSAFD Tcpip [TCP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip [*]

Protocol 1: MSAFD Tcpip [UDP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip [*]

Protocol 2: MSAFD Tcpip [RAW/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip [*]

Protocol 3: RSVP UDP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 4: RSVP TCP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA9D7718-62C7-4481-B5F6-BD9DCB9A9BFF}] SEQPACKET 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA9D7718-62C7-4481-B5F6-BD9DCB9A9BFF}] DATAGRAM 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2FBDCB1B-C4C5-44FA-B285-AFAAE725626B}] SEQPACKET 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2FBDCB1B-C4C5-44FA-B285-AFAAE725626B}] DATAGRAM 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43481223-2FA9-4A88-8892-852860773C52}] SEQPACKET 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43481223-2FA9-4A88-8892-852860773C52}] DATAGRAM 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Namespace Provider 0: TCP/IP
GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: TCP/IP

Namespace Provider 1: NTDS
GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
Filename: %SystemRoot%\System32\winrnr.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\winrnr.dll
DB protocol: NTDS

Namespace Provider 2: NLA-Namespace
GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: NLA-Namespace

 

[raman]

Hm, Spybot meldet da laut Report aber nichts!?

 

[Clockwork]

und wieso überprüft der Virtumods anstadt andere daten ?

 

[raman]

Ich haeng gerade etwas in der Luft, was meinst du mit deiner Aussage?

 

[Matt]

und wieso überprüft der Virtumods anstadt andere daten ?

Meinst du damit die Anzeige von Spybot während eines Suchlaufs?? Dort steht unten in der Leiste unter anderem auch "virtumonde.dll", "virtumonde.sdn", etc.

Spybot überprüft deinen Rechner auch auf andere Malware! Da es jedoch viele Signaturen dieses Trojaners "virtumonde" gibt, wirst du "virtumonde" oft unter der Scanleiste (die den Fortschritt des Scans anzeigt) in grauer Schrift lesen, was jedoch nicht heißt, dass du von diesem Schädling befallen bist, sondern nur, dass Spybot gerade nach diesem Trojaner an verschiedenen Stellen deines Pcs sucht.

Nur wenn Spybot in roter Schrift einen Schädling auflistet, dann hast du ihn auf deinem Rechner und solltest versuchen, diesen zu entfernen. Noch fragen :scratch:

Wieso hast du Software wie "DAEMON TOOLS" installiert? Habe dieses Programm erst mit Spybot von einem infizierten Rechner entfernen lassen. Der Hersteller dieses Programms ist meiner Meinung nach nicht vertrauenswürdig, da damit oft Spyware oder Ähnliches auf den Rechner gelangt.

 

[Clockwork]

Daemon Tool hab ich schon lange nicht mehr drauf gehabt xD

 

[Matt]

Daemon Tool hab ich schon lange nicht mehr drauf gehabt xD

Naja, am 28. Dezember hattest du es noch auf deinem Rechner, wenn ich mir deine Logfiles so anschaue. Gegebenenfalls muss man es ja manuell aus den Anwendungsdaten und der Registrierungsdatenbank löschen.