Smitfraud-C. und Virtumonde alles versucht

[Fahrememphis]

Ich habe mich seit heute morgen in euren Foren aufgehalten, habe sämtliche Removal Tools runterladen und alles strickt nach Anleitung gemacht. Hijack this erkennt nichts mehr, allerdings zeigt Spybot immer wieder diese Einträge an. Ich habe wirklich alles versucht und kriege diese lästigen Dinger einfach nicht weg. Bitte Bitte Bitte hilft mir, die Popups machen mich kirre. Hier mal mein Log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:34, on 2008-11-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wer-kennt-wen.de/
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Internet.lnk = ?
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE9A1ED2-52F1-405D-A9A8-F5690BC79B68}: NameServer = 217.237.150.51 217.237.148.22
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5560 bytes

Sogar Smitfraudfix bringt nix.

 

[raman]

Hallo Fahrememphis,

welche "Removal Tools" hast du genutzt und hast du noch deren Reporte/Ergebnisse? Wenn ja, poste diese.

 

[Fahrememphis]

Die Log Files habe ich leider nicht mehr, habe aber SmitfraudFix nochmal durchrattern lassen mit folgendem Ergebnis:

SmitFraudFix v2.376

Scan done at 11:47:20.04, 2008-11-23
Run from C:\Dokumente und Einstellungen\Panja\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F506FE24-4BF6-4630-AFC6-A44DBD698890}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F506FE24-4BF6-4630-AFC6-A44DBD698890}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F506FE24-4BF6-4630-AFC6-A44DBD698890}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

SD Fix:

SDFix: Version 1.240
Run by Panja on 2008-11-22 at 16:26

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\geBtUOFu.dll - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-22 16:31:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000cbf010e5d]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000cbf010e5d]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"="pvuesi.dll"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*isabledxpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 22 Oct 2008 949,072 A.SHR --- "C:\Programme\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll"
Thu 2 Oct 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Finished!

Im moment läuft grad GMER drüber, werd sobald das Prog fertig ist posten was dabei raus kam. Muss gestehen, meine Computerkenntnisse sind mäßig.

 

[Fahrememphis]

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-23 12:24:42
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xF4AB9040]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xF4AB5930]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xF4AC0A80]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xF4AB9510]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xF4ABF870]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xF4ABFAA0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xF4AC2FD0]
SSDT F7C64994 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xF4AB9600]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xF4AB5F20]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xF4AC16E0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xF4AC1440]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xF4ABF580]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xF4AC18B0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xF4AB5D70]
SSDT F7C64980 ZwOpenProcess
SSDT F7C64985 ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xF4AC2250]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xF4AC1CB0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xF4AB8C00]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xF4AC2080]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xF4AB9220]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xF4AB6120]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xF4AC1140]
SSDT F7C6498F ZwTerminateProcess
SSDT F7C6498A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!_abnormal_termination + 104 804E2760 12 Bytes [ 10, 95, AB, F4, 70, F8, AB, ... ]
? srescan.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe[312] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe[312] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe[312] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe[312] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[516] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[516] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[516] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[516] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\nvsvc32.exe[628] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\nvsvc32.exe[628] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\nvsvc32.exe[628] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\nvsvc32.exe[628] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\csrss.exe[712] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\csrss.exe[712] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\csrss.exe[712] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\csrss.exe[712] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\services.exe[856] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\services.exe[856] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\services.exe[856] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\services.exe[856] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\svchost.exe[1048] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\svchost.exe[1048] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\svchost.exe[1048] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\svchost.exe[1048] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\System32\svchost.exe[1220] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\svchost.exe[1220] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\svchost.exe[1220] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\svchost.exe[1220] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\Explorer.EXE[1540] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 0114200E
.text C:\WINDOWS\Explorer.EXE[1540] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 01141DAF
.text C:\WINDOWS\Explorer.EXE[1540] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 01141CF2
.text C:\WINDOWS\Explorer.EXE[1540] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 0114191B
.text C:\WINDOWS\System32\svchost.exe[1820] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\svchost.exe[1820] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\svchost.exe[1820] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\svchost.exe[1820] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\LEXBCES.EXE[1944] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 016C200E
.text C:\WINDOWS\system32\LEXBCES.EXE[1944] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 016C1DAF
.text C:\WINDOWS\system32\LEXBCES.EXE[1944] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 016C1CF2
.text C:\WINDOWS\system32\LEXBCES.EXE[1944] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 016C191B
.text C:\WINDOWS\system32\spoolsv.exe[1972] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00F3200E
.text C:\WINDOWS\system32\spoolsv.exe[1972] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00F31DAF
.text C:\WINDOWS\system32\spoolsv.exe[1972] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00F31CF2
.text C:\WINDOWS\system32\spoolsv.exe[1972] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00F3191B
.text C:\WINDOWS\system32\LEXPPS.EXE[1980] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\LEXPPS.EXE[1980] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\LEXPPS.EXE[1980] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\LEXPPS.EXE[1980] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\wscntfy.exe[2092] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\wscntfy.exe[2092] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\wscntfy.exe[2092] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\wscntfy.exe[2092] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\sistray.EXE[2204] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00B1200E
.text C:\WINDOWS\system32\sistray.EXE[2204] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00B11DAF
.text C:\WINDOWS\system32\sistray.EXE[2204] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00B11CF2
.text C:\WINDOWS\system32\sistray.EXE[2204] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00B1191B
.text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[2316] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[2316] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[2316] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[2316] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\winsys2.exe[2524] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\winsys2.exe[2524] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\winsys2.exe[2524] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\winsys2.exe[2524] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\RunDLL32.exe[2552] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 009F200E
.text C:\WINDOWS\system32\RunDLL32.exe[2552] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 009F1DAF
.text C:\WINDOWS\system32\RunDLL32.exe[2552] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 009F1CF2
.text C:\WINDOWS\system32\RunDLL32.exe[2552] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 009F191B
.text C:\WINDOWS\system32\ctfmon.exe[2664] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\ctfmon.exe[2664] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\ctfmon.exe[2664] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\ctfmon.exe[2664] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe[2680] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe[2680] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe[2680] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe[2680] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\Programme\Skype\Phone\Skype.exe[2692] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\Programme\Skype\Phone\Skype.exe[2692] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\Programme\Skype\Phone\Skype.exe[2692] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\Programme\Skype\Phone\Skype.exe[2692] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\Programme\Spybot - Search & Destroy\TeaTimer.exe[2700] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\Programme\Spybot - Search & Destroy\TeaTimer.exe[2700] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\Programme\Spybot - Search & Destroy\TeaTimer.exe[2700] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\Programme\Spybot - Search & Destroy\TeaTimer.exe[2700] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\Programme\Mozilla Firefox\firefox.exe[2792] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\Programme\Mozilla Firefox\firefox.exe[2792] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\Programme\Mozilla Firefox\firefox.exe[2792] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\Programme\Mozilla Firefox\firefox.exe[2792] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\Programme\Mozilla Firefox\firefox.exe[2792] kernel32.dll!MultiByteToWideChar 7C809CAD 5 Bytes JMP 00D34A43 C:\WINDOWS\system32\awttqpqO.dll
.text C:\Programme\Mozilla Firefox\firefox.exe[2792] WS2_32.dll!send 71A1428A 5 Bytes JMP 100030E6
.text C:\Programme\Mozilla Firefox\firefox.exe[2792] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 100032CC
.text C:\Programme\Mozilla Firefox\firefox.exe[2792] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 100035BC
.text C:\Programme\Skype\Plugin Manager\skypePM.exe[3664] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\Programme\Skype\Plugin Manager\skypePM.exe[3664] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\Programme\Skype\Plugin Manager\skypePM.exe[3664] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\Programme\Skype\Plugin Manager\skypePM.exe[3664] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\DOKUME~1\Panja\LOKALE~1\Temp\Rar$EX01.422\gmer.exe[3672] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E
.text C:\DOKUME~1\Panja\LOKALE~1\Temp\Rar$EX01.422\gmer.exe[3672] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF
.text C:\DOKUME~1\Panja\LOKALE~1\Temp\Rar$EX01.422\gmer.exe[3672] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2
.text C:\DOKUME~1\Panja\LOKALE~1\Temp\Rar$EX01.422\gmer.exe[3672] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B
.text C:\Programme\Spybot - Search & Destroy\SpybotSD.exe[3932] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 0155200E
.text C:\Programme\Spybot - Search & Destroy\SpybotSD.exe[3932] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 01551DAF
.text C:\Programme\Spybot - Search & Destroy\SpybotSD.exe[3932] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 01551CF2
.text C:\Programme\Spybot - Search & Destroy\SpybotSD.exe[3932] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 0155191B
.text C:\Programme\Spybot - Search & Destroy\SpybotSD.exe[3932] kernel32.dll!CreateThread + 1A 7C810849 4 Bytes [ EB, A0, 35, 86 ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F4ABDCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F4ABE1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F4ABE320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F4ABDE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F4ABDE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F4ABDCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F4ABE1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F4ABE320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F4ABDCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F4ABE320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F4ABE1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F4ABDE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F4ABE320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F4ABE1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F4ABDCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F4ABDE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F4ABDCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F4ABE1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F4ABE320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [F4ACB330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F4ABDCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F4ABDE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F4ABE320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F4ABE1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [F4AB6670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [F4AB65C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [F4AB6770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [F4AB62D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Devices - GMER 1.0.14 ----

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Processes - GMER 1.0.14 ----

Process C:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe (*** hidden *** ) 2680
Library C:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe (*** hidden *** ) @ C:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe [2680] 0x00400000

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000cbf010e5d
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000cbf010e5d
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\wneueu
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\wneueu@SlowInfoCache 0x28 0x02 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\wneueu@Changed 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wneueu
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wneueu@DisplayName Favorit
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wneueu@UninstallString "c:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe" -uninstall
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wneueu@NoRemove 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wneueu@NoModify 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wneueu@NoRepair 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs pvuesi.dll
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@wneueu "c:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe" wneueu

---- Files - GMER 1.0.14 ----

File C:\Dokumente und Einstellungen\Panja\Lokale Einstellungen\Anwendungsdaten\wneueu.dat 5308 bytes
File C:\Dokumente und Einstellungen\Panja\Lokale Einstellungen\Anwendungsdaten\wneueu.exe 335872 bytes executable
File C:\Dokumente und Einstellungen\Panja\Lokale Einstellungen\Anwendungsdaten\wneueu_nav.dat 235178 bytes
File C:\Dokumente und Einstellungen\Panja\Lokale Einstellungen\Anwendungsdaten\wneueu_navps.dat 1145 bytes
File C:\WINDOWS\Prefetch\WNEUEU.EXE-042B6865.pf 42246 bytes

---- EOF - GMER 1.0.14 ----

 

[raman]

Hm, Navipromo

Nutze bitte Combofix:

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

 

[Fahrememphis]

Combo Fix Log:

ComboFix 08-11-22.02 - Panja 2008-11-23 19:53:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.495 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Panja\Eigene Dateien\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Panja\Lokale Einstellungen\Anwendungsdaten\wneueu.dat
c:\dokumente und einstellungen\Panja\Lokale Einstellungen\Anwendungsdaten\wneueu.exe
c:\dokumente und einstellungen\Panja\Lokale Einstellungen\Anwendungsdaten\wneueu_nav.dat
c:\dokumente und einstellungen\Panja\Lokale Einstellungen\Anwendungsdaten\wneueu_navps.dat
c:\windows\system32\awttqpqO.dll
c:\windows\system32\fhrfsbeg.dll
c:\windows\system32\Oqpqttwa.ini
c:\windows\system32\Oqpqttwa.ini2
c:\windows\system32\pklgkmea.ini
c:\windows\system32\pvuesi.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-23 bis 2008-11-23 ))))))))))))))))))))))))))))))
.

2008-11-23 12:35 . 2008-11-23 19:48 <DIR> d-------- c:\dokumente und einstellungen\Panja\.housecall6.6
2008-11-23 11:56 . 2008-11-23 12:33 250 --a------ c:\windows\gmer.ini
2008-11-22 16:25 . 2008-11-22 16:25 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-22 16:22 . 2008-11-22 16:22 <DIR> d-------- c:\windows\ERUNT
2008-11-22 16:18 . 2008-11-22 16:33 <DIR> d-------- C:\SDFix
2008-11-22 15:26 . 2008-11-22 15:26 <DIR> d-------- c:\windows\Content.IE5
2008-11-22 14:53 . 2008-11-23 11:47 1,670 --a------ c:\windows\system32\tmp.reg
2008-11-22 14:52 . 2005-09-14 17:26 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.6NCEH97SB9DWE78\Vorlagen
2008-11-22 14:52 . 2005-09-14 18:20 <DIR> dr------- c:\dokumente und einstellungen\Administrator.6NCEH97SB9DWE78\Startmenü
2008-11-22 14:52 . 2005-09-14 18:20 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.6NCEH97SB9DWE78\Netzwerkumgebung
2008-11-22 14:52 . 2008-11-23 19:57 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.6NCEH97SB9DWE78\Lokale Einstellungen
2008-11-22 14:52 . 2005-09-14 18:20 <DIR> d-------- c:\dokumente und einstellungen\Administrator.6NCEH97SB9DWE78\Favoriten
2008-11-22 14:52 . 2005-09-14 18:20 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.6NCEH97SB9DWE78\Druckumgebung
2008-11-22 14:52 . 2005-09-14 18:20 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator.6NCEH97SB9DWE78\Anwendungsdaten
2008-11-22 14:52 . 2008-11-22 14:52 <DIR> d-------- c:\dokumente und einstellungen\Administrator.6NCEH97SB9DWE78
2008-11-22 14:30 . 2008-11-22 14:30 0 --a------ c:\windows\nsreg.dat
2008-11-22 13:15 . 2008-11-22 13:15 <DIR> d-------- c:\programme\Avira
2008-11-22 13:15 . 2008-11-22 13:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-22 10:54 . 2008-11-22 11:46 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-11-22 10:54 . 2008-11-22 15:23 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-21 21:39 . 2008-11-21 21:39 <DIR> d-------- c:\programme\Ashampoo
2008-11-18 15:16 . 2008-11-18 15:23 <DIR> d-------- c:\programme\RegCleaner
2008-11-18 15:12 . 2008-11-18 15:12 <DIR> d-------- c:\programme\RoJoBli
2008-11-17 14:32 . 2008-11-17 14:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype
2008-11-17 11:30 . 2008-11-17 11:30 <DIR> d-------- c:\dokumente und einstellungen\Panja\Anwendungsdaten\Apple Computer
2008-11-17 11:29 . 2008-11-17 11:29 <DIR> d-------- c:\dokumente und einstellungen\Panja\Anwendungsdaten\Yahoo!
2008-11-17 10:30 . 2008-11-17 11:35 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-11-17 10:30 . 2008-11-17 11:35 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-11-17 10:30 . 2008-11-17 11:35 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-11-17 10:30 . 2008-11-17 11:35 <DIR> d---s---- c:\dokumente und einstellungen\Administrator
2008-11-16 21:18 . 2008-11-17 11:35 <DIR> d-------- c:\programme\RealMedia
2008-11-16 21:18 . 2008-11-17 11:35 <DIR> d-------- c:\programme\OpenSource Flash Video Splitter
2008-11-16 21:18 . 2008-11-17 11:35 <DIR> d-------- c:\programme\DScaler5
2008-11-16 21:17 . 2008-11-16 21:17 <DIR> d-------- c:\programme\Haali
2008-11-16 21:16 . 2008-11-17 11:35 <DIR> d-------- c:\programme\ffdshow
2008-11-16 00:38 . 2008-11-17 14:32 <DIR> dr------- c:\programme\Skype
2008-11-16 00:38 . 2008-11-23 19:53 <DIR> d-------- c:\dokumente und einstellungen\Panja\Anwendungsdaten\Skype
2008-11-16 00:06 . 2008-11-17 11:36 <DIR> d-------- c:\programme\Veo Digital Studio
2008-11-15 14:54 . 2008-11-17 11:31 <DIR> d-------- c:\programme\McAfee.com
2008-11-15 14:54 . 2008-11-17 14:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee.com
2008-11-15 14:54 . 2005-07-18 12:03 349,760 --a------ c:\windows\system32\mcinsctl.dll
2008-11-15 14:54 . 2005-05-24 19:23 288,320 --a------ c:\windows\system32\mcgdmgr.dll
2008-11-13 10:16 . 2008-11-17 11:29 <DIR> d-------- c:\programme\Yahoo!
2008-11-13 10:16 . 2008-11-13 10:39 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-11-07 21:18 . 2008-11-07 21:18 <DIR> d-------- c:\dokumente und einstellungen\Panja\Anwendungsdaten\OpenOffice.org
2008-11-07 13:15 . 2008-11-07 13:15 <DIR> d-------- c:\programme\OpenOffice.org 3
2008-11-04 10:31 . 2008-11-04 10:31 100 --a------ c:\windows\lexstat.ini
2008-11-04 10:30 . 2008-11-04 10:32 <DIR> d-------- c:\programme\Lexmark 2200 Series
2008-11-04 10:30 . 2001-08-18 04:54 87,040 --a------ c:\windows\system32\wiafbdrv.dll
2008-11-04 10:30 . 2001-08-18 04:54 87,040 --a--c--- c:\windows\system32\dllcache\wiafbdrv.dll
2008-11-04 10:30 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-11-04 10:30 . 2004-08-03 22:58 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2008-11-04 10:28 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-11-04 10:28 . 2004-08-03 23:08 31,616 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-10-30 17:41 . 2008-10-31 06:15 <DIR> d-------- c:\programme\Veo Digital Studio(2)
2008-10-26 13:21 . 2008-10-31 06:16 <DIR> d-------- c:\programme\AIMP2
2008-10-26 12:42 . 2008-10-31 06:17 <DIR> d-------- C:\SETUP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-23 19:01 15,753,504 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-23 19:01 --------- d-----w c:\dokumente und einstellungen\Panja\Anwendungsdaten\skypePM
2008-11-23 18:58 211,940 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-22 13:50 2,079,744 ----a-w c:\windows\Internet Logs\xDBA.tmp
2008-11-22 13:50 1,595,392 ----a-w c:\windows\Internet Logs\xDBB.tmp
2008-11-21 18:45 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-20 18:13 --------- d-----w c:\programme\Windows Media Connect 2
2008-11-17 13:40 --------- d-----w c:\programme\Tweak-XP Pro 4
2008-11-17 13:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-11-17 10:35 --------- d-----w c:\programme\Microsoft ActiveSync
2008-11-15 23:06 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-12 08:57 3,057,415 ----a-w c:\windows\Internet Logs\tvDebug.zip
2008-10-31 05:21 --------- d-----w c:\programme\Sat1 Spiele
2008-10-31 05:21 --------- d-----w c:\programme\GrandBilliards
2008-10-31 05:20 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2008-10-26 18:28 858,112 ----a-w c:\windows\Internet Logs\xDB8.tmp
2008-10-26 18:28 1,550,848 ----a-w c:\windows\Internet Logs\xDB9.tmp
2008-10-04 18:14 --------- d-----w c:\programme\Oberon Media
2008-10-04 18:14 --------- d-----w c:\programme\Gemeinsame Dateien\Oberon Media
2008-09-25 17:44 78,769 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_09_25_16_28_34_small.dmp.zip
2008-09-25 14:28 4,133,376 ----a-w c:\windows\Internet Logs\xDB7.tmp
2008-09-16 17:46 2,560 ----a-w c:\windows\_MSRSTRT.EXE
2004-09-28 02:00 26,240 ----a-w c:\windows\inf\RAMDSK.SYS
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-10-29 25795368]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="c:\windows\system32\sistray.EXE" [2003-10-30 667648]
"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2003-10-30 249856]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 919016]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"SW20"="c:\windows\system32\sw20.exe" [2006-09-07 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-09-07 69632]
"WinSys2"="c:\windows\system32\winsys2.exe" [2006-10-03 217088]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 c:\windows\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=pvuesi.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codec"= l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^T-Sinus 130pcicard Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\T-Sinus 130pcicard Monitor.lnk
backup=c:\windows\pss\T-Sinus 130pcicard Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Panja^Startmenü^Programme^Autostart^Sonic CinePlayer Quick Launch.lnk]
path=c:\dokumente und einstellungen\Panja\Startmenü\Programme\Autostart\Sonic CinePlayer Quick Launch.lnk
backup=c:\windows\pss\Sonic CinePlayer Quick Launch.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 14:28 266497 c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-10-18 10:34 5724184 c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 Cinemsup;Cinemsup;c:\windows\system32\drivers\Cinemsup.sys [2002-07-19 6656]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-02-22 61440]
R3 DCamUSBVeo532;Veo Web Camera;c:\windows\system32\Drivers\ubVeo532.sys [2008-11-21 95232]
R3 es1969;ESS 1969-Audiotreiber (WDM);c:\windows\system32\drivers\es1969.sys [2008-07-07 72192]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS []
S3 TS130PCI;T-Sinus 130pcicard;c:\windows\system32\DRIVERS\TS130PCI.sys [2007-02-22 95872]
S3 w32n5117;SMC2635W Wireless Adapter NDIS5 Protocol Driver;\??\c:\windows\system32\w32n5117.SYS [2007-02-24 15232]
S4 hpt3xx;hpt3xx; []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\Autorun.exe

*Newly Created Service* - SISPORT
.
Inhalt des "geplante Tasks" Ordners

2008-11-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{053256C6-6199-4770-A8CF-DD55958814C9} - c:\windows\system32\awttqpqO.dll
BHO-{7e11eaae-9f75-4b96-8753-3cc7a1f6a2ad} - c:\windows\system32\pvuesi.dll
BHO-{8369650D-536C-4B75-BA0B-8286E86EDA0A} - (no file)
BHO-{ECC3A23F-7D36-4B4D-8D35-41021EF48F2D} - (no file)
HKCU-Run-wneueu - c:\dokumente und einstellungen\panja\lokale einstellungen\anwendungsdaten\wneueu.exe
HKLM-Run-AVGCtrl - c:\programme\AVPersonal\AVGNT.EXE
Notify-geBtUOFu - (no file)
MSConfigStartUp-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Panja\Anwendungsdaten\Mozilla\Firefox\Profiles\agx383xg.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.wer-kennt-wen.de/
FF -: plugin - c:\programme\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-23 19:59:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(756)
c:\windows\system32\rsaenh.dll

- - - - - - - > 'lsass.exe'(872)
c:\windows\system32\msprivs.dll
c:\windows\system32\rsaenh.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-23 20:04:23 - PC wurde neu gestartet [Panja]
ComboFix-quarantined-files.txt 2008-11-23 19:04:18

Vor Suchlauf: 13 Verzeichnis(se), 128,942,604,288 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 128,882,372,608 Bytes frei

234

 

[Fahrememphis]

Ich habe heute mittag noch einen Online Virenscanner drüber flitzen lassen, mit anschliessender Reparatur http://housecall.trendmicro.com/de/. Combo Fix und gerade Spybot und der hat glücklicherweise nix mehr angezeigt. *freu*
War das jetzt der Online Scanner oder Combo Fix? :red: Egal hauptsache ich bin die beiden Biester :flame: los. Vielen Vielen Dank :bigthumb:

 

[raman]

War bestimmt nur Combofix!

Lasse bitte c:\windows\system32\winsys2.exe bei virustotal.com pruefen und poste den Link zum Ergebniss....

 

[Fahrememphis]

Vielen Dank ralf:flowers:

 

[raman]

Gern geschehen, nur was hat die uberpruefung der DAtei ergeben?

 

[Fahrememphis]

http://www.virustotal.com/de/analisis/4d93ad70c1fc549147f030bb59395c52

MadCodeHook??

 

[raman]

Hake den Eintrag bitte in Hijackthis an und druecke fix checked. Das sollte reichen.

 

[Fahrememphis]

Erledigt olice: