SpybotSD.exe verschwindet/wird gelöscht

[Himmelweiss]

Hallo,

Benutze Windows Vista Home Premium 32 (Build 6000).
Sobald ich Spybot installiere verschwindet die SpybotSD.exe.
Erstelle ich eine testdatei und benenn die ebenfalls in SpybotSD.exe verschwindet sie ebenso sofort (egal auf welcher Platte und in welchem Verzeichnis).

Nun habe ich diesen Thread gefunden:
http://forums.spybot.info/showthread.php?t=11292

Leider habe ich das problem das ich kaum noch (wenn überhaupt) programme installieren kann. Also kein AntiVir, AVG, Cleaner usw. egal was ich installieren will schlägt die Installation fehl sobald die installation die ausführbare .exe Datei des Programms installieren/kopieren will, erscheint daraufhin eine Meldung ich solle sicherstellen das ich Zugriffsrechte habe. Bin aber Administrator auf meinem System. Im abgesichertern modus geht ja leider kein Windows Installer.

Auch Windows updates lassen sich nicht mehr installieren denn der Windows Modules Installer deaktiviert sich immer von selbst wenn ich Updates installieren möchte (Windows Vista Sicherheitsupdates).

Da ich kein Backlight dings habe (die Beta), und auch die Originalsoftware nicht bzw. Trial (die ich ja auch nicht installieren könnte), weiss ich nicht so recht was ich jetzt tun kann.

Mit Hijackthis und auch SpybotSD, indem ich Spybot im abgesichertern modus installiert habe (benutzt offensichtlich Windows Installer nicht) und dann die Datei einfach in Z.exe umbenannt habe, konnte ich Spybot im normalen Modus nutzen und offensichtlich Dateien wie hdlrrr und wintems entfernen.
Jedoch besteht das Problem mit den .exe Dateien weiterhin, Installationen lassen sich nicht ausführen, Virenprogramme lassen sich nicht ausführen und manche .exe wie SpybotSD.exe verschwinden nachwievor immernoch.

 

[Himmelweiss]

Habe soeben noch diesen Thread gefunden:
http://forums.spybot.info/showthread.php?t=19580

Werde mal Hijackthis und Combofix probieren und die logs posten, sollte sich das Problem bis dahin nicht verbessert haben.

 

[Himmelweiss]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:56:23, on 06.01.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Program Files\Dell AIO Printer A920\DLBKbmgr.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WiFiConnector\NintendoWFCReg.exe
C:\Program Files\Dell AIO Printer A920\dlbkbmon.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SD\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\windows sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [PCTV 310i Antenna Power] "C:\Program Files\Pinnacle\Shared Files\Drivers\Tools\PCTV 310i Antenna Power.exe" /silent
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Apache2.2\bin\ApacheMonitor.exe
O4 - Global Startup: Registrierungsprogramm ausführen.lnk = C:\Program Files\WiFiConnector\NintendoWFCReg.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufugen - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SD\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SD\SDHelper.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/mickey/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DB2C293-D04B-4AAD-B08E-CC1FB2BB2C42}: NameServer = 192.168.2.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Apache2.2\bin\httpd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\Windows\runservice.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 7813 bytes

 

[Himmelweiss]

ComboFix 08-01-04.1 - himmelweiss 2008-01-06 7:39:50.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.2099 [GMT 1:00]
ausgeführt von:: C:\appz\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\himmelweiss\AppData\Roaming\addon.dat
C:\Windows\regedit.com
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa


((((((((((((((((((((((( Dateien erstellt von 2007-12-06 bis 2008-01-06 ))))))))))))))))))))))))))))))
.

2008-01-06 07:29 . 2000-08-31 08:00 51,200 --a------ C:\Windows\NirCmd.exe
2008-01-06 07:17 . 2008-01-06 07:29 <DIR> d-------- C:\Program Files\EsetOnlineScanner
2008-01-06 06:00 . 2008-01-06 06:00 <DIR> d-------- C:\fsaua.data
2008-01-06 05:34 . 2008-01-06 05:34 2,048 --a------ C:\Windows\System32\tzres.dll
2008-01-06 05:20 . 2008-01-06 05:20 <DIR> d-------- C:\SD
2008-01-06 04:30 . 2008-01-06 06:51 <DIR> d-------- C:\kav
2008-01-06 04:29 . 2008-01-06 04:29 <DIR> d-a------ C:\Windows\zts2.exe
2008-01-06 04:29 . 2008-01-06 04:29 <DIR> d-a------ C:\Windows\System32\vcmgcd32.dll
2008-01-06 04:29 . 2008-01-06 04:29 <DIR> d-a------ C:\Windows\System32\iifgfgf.dll
2008-01-06 04:29 . 2008-01-06 04:29 <DIR> d-a------ C:\Windows\rundll16.exe
2008-01-06 04:29 . 2008-01-06 04:29 <DIR> d-a------ C:\Windows\rundl132.dll
2008-01-06 04:29 . 2008-01-06 04:29 <DIR> d-a------ C:\Windows\logo1_.exe
2008-01-06 04:28 . 2008-01-06 04:28 26 --a------ C:\Windows\Lic.xxx
2008-01-06 04:14 . 2008-01-06 04:14 <DIR> d-------- C:\Users\himmelweiss\.housecall6.6
2008-01-06 04:14 . 2008-01-06 04:14 102,664 --a------ C:\Windows\System32\drivers\tmcomm.sys
2008-01-06 03:55 . 2006-11-02 10:45 163,840 --a------ C:\Windows\System32\T.COM
2008-01-06 03:55 . 2006-11-02 10:45 134,656 --a------ C:\Windows\R.COM
2008-01-06 03:22 . 2008-01-06 03:22 <DIR> d-------- C:\Program Files\Trend Micro
2008-01-06 03:08 . 2008-01-06 07:45 2,287,648 --ahs---- C:\Windows\System32\drivers\fidbox.dat
2008-01-06 03:08 . 2008-01-06 07:45 28,928 --ahs---- C:\Windows\System32\drivers\fidbox.idx
2008-01-06 02:32 . 2008-01-06 02:32 <DIR> d-------- C:\Windows\System32\Kaspersky Lab
2008-01-06 02:32 . 2008-01-06 06:49 <DIR> d-------- C:\Users\All Users\Kaspersky Lab
2008-01-06 02:32 . 2008-01-06 06:49 <DIR> d-------- C:\ProgramData\Kaspersky Lab
2008-01-05 20:29 . 2008-01-05 20:29 <DIR> d-------- C:\Users\All Users\InstallShield
2008-01-05 20:29 . 2008-01-05 20:29 <DIR> d-------- C:\ProgramData\InstallShield
2008-01-05 20:29 . 2004-06-16 06:03 73,728 --a------ C:\Windows\System32\ISUSPM.cpl
2008-01-05 20:28 . 2008-01-05 20:28 271,360 --a------ C:\Windows\System32\drivers\atksgt.sys
2008-01-05 20:27 . 2008-01-05 20:27 18,048 --a------ C:\Windows\System32\drivers\lirsgt.sys
2008-01-05 20:23 . 2008-01-05 20:28 <DIR> d-------- C:\Program Files\Gothic III
2008-01-04 19:53 . 2008-01-04 19:53 <DIR> d--h----- C:\Program Files\win32GI
2008-01-04 09:58 . 2004-03-26 02:09 495,252 --a------ C:\Windows\System32\drivers\blah
2008-01-04 09:55 . 2008-01-06 05:21 <DIR> d-------- C:\Windows\System32\drivers\down
2007-12-29 09:10 . 2008-01-06 06:41 54,156 --ah----- C:\Windows\QTFont.qfn
2007-12-29 09:10 . 2007-12-29 09:10 1,409 --a------ C:\Windows\QTFont.for
2007-12-29 09:09 . 2007-12-29 09:09 <DIR> d-------- C:\Program Files\QuickTime
2007-12-27 00:15 . 2007-12-27 00:15 3,492 --a------ C:\eve4.m3u
2007-12-27 00:11 . 2007-12-27 00:11 <DIR> d-------- C:\Program Files\Dragon UnPACKer 5
2007-12-25 07:26 . 2007-12-25 07:26 749,312 --a------ C:\NTCEveTycoonGuide003.pdf
2007-12-21 23:32 . 2007-12-21 23:32 465 --a------ C:\eve3.m3u
2007-12-20 16:22 . 2007-12-20 17:12 7,948 --a------ C:\eve2.m3u
2007-12-20 07:05 . 2007-12-20 07:19 1,351 --a------ C:\eve.m3u
2007-12-19 04:03 . 2007-12-21 21:43 <DIR> d-------- C:\Users\himmelweiss\AppData\Roaming\teamspeak2
2007-12-19 04:03 . 2007-12-19 04:03 <DIR> d-------- C:\Program Files\Teamspeak2_RC2
2007-12-19 04:03 . 2007-12-19 04:03 34,064 --a------ C:\Windows\System32\lhacm.acm
2007-12-18 15:45 . 2007-12-18 15:46 <DIR> d-------- C:\Users\himmelweiss\AppData\Roaming\EVEMon
2007-12-18 15:45 . 2007-12-18 15:45 <DIR> d-------- C:\Program Files\EVEMon
2007-12-18 00:04 . 2007-12-18 00:04 <DIR> d-------- C:\Program Files\DeepSilver
2007-12-11 21:35 . 2007-12-11 21:35 3,438,063 --a------ C:\Haladas_Bergbau_Anleitung_german_2_2.pdf
2007-12-11 10:57 . 2007-12-11 10:57 65,536 --a------ C:\Windows\System32\QuickTimeVR.qtx
2007-12-11 10:57 . 2007-12-11 10:57 49,152 --a------ C:\Windows\System32\QuickTime.qts
2007-12-10 18:23 . 2007-12-10 18:23 1,215,363 --a------ C:\sternschnuppe Kopie.jpg
2007-12-10 18:18 . 2007-12-10 18:23 7,482,754 --a------ C:\sternschnuppe.psd
2007-12-10 18:09 . 2007-12-10 18:09 6,502 --a------ C:\sternschnuppe-2.gif
2007-12-09 21:33 . 2007-07-19 18:14 3,727,720 --a------ C:\Windows\System32\d3dx9_35.dll
2007-12-09 21:21 . 2007-12-09 21:21 <DIR> d-------- C:\Program Files\CCP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 15:46 3,471,032 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-01-06 06:39 --------- d-----w C:\Users\himmelweiss\AppData\Roaming\OpenOffice.org2
2008-01-06 04:10 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-01-06 03:32 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-01-06 02:43 --------- d-----w C:\Program Files\Tablet
2008-01-06 02:36 --------- d-----w C:\Program Files\Skype
2008-01-06 02:36 --------- d-----w C:\Program Files\Bradbury
2008-01-06 02:21 --------- d-----w C:\Program Files\Google
2008-01-06 02:18 --------- d-----w C:\Users\himmelweiss\AppData\Roaming\IGN_DLM
2008-01-06 02:11 --------- d-----w C:\Program Files\Autodesk
2008-01-06 02:05 --------- d-----w C:\ProgramData\Autodesk
2008-01-06 02:05 --------- d-----w C:\Program Files\Common Files\Autodesk Shared
2008-01-06 01:02 --------- d-----w C:\Users\himmelweiss\AppData\Roaming\WTablet
2008-01-05 19:29 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-01-05 19:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-28 11:19 --------- d-----w C:\Users\himmelweiss\AppData\Roaming\MySQL
2007-12-11 00:02 --------- d-----w C:\ProgramData\NVIDIA
2007-11-26 14:44 --------- d-----w C:\Program Files\SmartFTP Client 2.0
2007-11-18 10:11 --------- d-----w C:\Program Files\Trillian
2007-11-17 18:50 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2007-11-15 14:08 --------- d-----w C:\Program Files\Apple Software Update
2007-11-15 01:42 --------- d-----w C:\Users\himmelweiss\AppData\Roaming\Ventrilo
2007-11-15 00:48 --------- d-----w C:\Program Files\Ventrilo
2007-11-14 02:03 704,000 ----a-w C:\Windows\System32\PhotoScreensaver.scr
2007-11-14 02:03 67,584 ----a-w C:\Windows\System32\wlanhlp.dll
2007-11-14 02:03 542,720 ----a-w C:\Windows\System32\sysmain.dll
2007-11-14 02:03 502,784 ----a-w C:\Windows\System32\wlansvc.dll
2007-11-14 02:03 47,104 ----a-w C:\Windows\System32\wlanapi.dll
2007-11-14 02:03 3,504,824 ----a-w C:\Windows\System32\ntkrnlpa.exe
2007-11-14 02:03 297,984 ----a-w C:\Windows\System32\wlansec.dll
2007-11-14 02:03 290,816 ----a-w C:\Windows\System32\wlanmsm.dll
2007-11-14 02:03 258,232 ----a-w C:\Windows\system32\drivers\acpi.sys
2007-11-14 02:03 24,064 ----a-w C:\Windows\System32\wtsapi32.dll
2007-11-14 02:03 2,923,520 ----a-w C:\Windows\explorer.exe
2007-11-14 02:03 2,027,008 ----a-w C:\Windows\System32\win32k.sys
2007-11-14 02:01 8,704 ----a-w C:\Windows\System32\hcrstco.dll
2007-11-14 02:01 8,704 ----a-w C:\Windows\System32\hccoin.dll
2007-11-14 02:01 73,216 ----a-w C:\Windows\system32\drivers\usbccgp.sys
2007-11-14 02:01 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2007-11-14 02:01 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2007-11-14 02:01 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
2007-11-14 02:01 192,000 ----a-w C:\Windows\system32\drivers\usbhub.sys
2007-11-14 02:01 19,456 ----a-w C:\Windows\system32\drivers\usbohci.sys
2007-11-14 02:01 --------- d-----w C:\Program Files\Windows Mail
2007-11-12 00:24 --------- d-----w C:\Program Files\Common Files\Adobe
2007-11-09 12:24 --------- d-----w C:\Program Files\Movie Player
2007-10-09 18:23 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2007-10-09 18:23 7,680 ----a-w C:\Windows\System32\spwmp.dll
2007-10-09 18:23 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2007-10-09 18:23 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2007-10-09 18:22 56,320 ----a-w C:\Windows\System32\iesetup.dll
2007-10-09 18:22 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2007-10-09 18:22 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2007-10-09 18:21 84,480 ----a-w C:\Windows\System32\INETRES.dll
2007-10-09 18:21 788,992 ----a-w C:\Windows\System32\rpcrt4.dll
2007-10-09 18:21 737,792 ----a-w C:\Windows\System32\inetcomm.dll
2007-08-30 16:08 174 --sha-w C:\Program Files\desktop.ini
.

<pre>
------r         1,037,644 2002-02-18 11:41:40  C:\Poser Stuff\figures\Dragons Volume 1\DAZ3D_Storybook Dragon Poses .exe
</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\windows sidebar\sidebar.exe" [2006-11-02 13:35 1196032]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 11:48 157592]
"PCTV 310i Antenna Power"="C:\Program Files\Pinnacle\Shared Files\Drivers\Tools\PCTV 310i Antenna Power.exe" [2006-09-07 07:04 94208]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2004-03-26 02:09 495252]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 13:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 13:36 201728]
"ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 06:03 221184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"Dell AIO Printer A920"="C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe" [2007-03-28 11:10 275952]
"Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10 409600]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-02-13 19:29 35328]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-06-22 17:07 180269]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-07-31 17:44 271672]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-10-04 17:14 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-10-04 17:14 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-10-04 17:14 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 06:03 81920]

C:\Users\himmelweiss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.1.lnk - C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 16:45:48]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:00]
Monitor Apache Servers.lnk - C:\Apache2.2\bin\ApacheMonitor.exe [2007-01-09 23:20:44]
Registrierungsprogramm ausfhren.lnk - C:\Program Files\WiFiConnector\NintendoWFCReg.exe [2007-10-21 18:32:28]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

R2 LicCtrlService;LicCtrl Service;C:\Windows\runservice.exe [2007-03-29 21:00]
R3 Ph3xIB32;Philips 713x Inbox PCI TV Card;C:\Windows\system32\DRIVERS\Ph3xIB32.sys [2007-04-03 09:43]
R3 RTSTOR;USB Mass Storage Device;C:\Windows\system32\drivers\RTSTOR.SYS [2007-05-11 19:09]
S3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i-MCE;C:\Windows\system32\DRIVERS\3xHybrid.sys [2006-11-22 07:53]
S3 HCWBT8xx;Hauppauge WinTV 848/9 WDM Video Driver;C:\Windows\system32\drivers\HCWBT8XX.sys [2006-01-25 16:14]
S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-01-18 19:03]
S3 tbhsd;Tunebite High-Speed Dubbing;C:\Windows\system32\drivers\tbhsd.sys [2006-12-14 16:54]
S3 u2kg54;BUFFALO WLI-U2-KG54 Wireless LAN Adapter Service;C:\Windows\system32\DRIVERS\rt2500usb.sys [2004-06-22 09:15]
S4 dlbk_device;dlbk_device;C:\Windows\system32\dlbkcoms.exe [2007-03-28 11:08]
S4 MySQL5;MySQL5;"C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld-nt" []
S4 viamraid;viamraid;C:\Windows\system32\drivers\viamraid.sys [2006-03-31 01:18]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalSystemNetworkRestricted REG_MULTI_SZ hidserv UxSms WdiSystemHost Netman trkwks AudioEndpointBuilder WUDFSvc irmon sysmain IPBusEnum dot3svc PcaSvc EMDMgmt TabletInputService wlansvc WPDBusEnum


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
C:\Windows\system32\unregmp2.exe /ShowWMP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI
.
Inhalt des "geplante Tasks" Ordners
"2008-01-05 07:52:07 C:\Windows\Tasks\User_Feed_Synchronization-{C588710E-122A-4644-8518-992713926BF7}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 07:49:13
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-06 7:52:57 - machine was rebooted [himmelweiss]
ComboFix-quarantined-files.txt 2008-01-06 06:52:54
.
2008-01-06 04:48:30 --- E O F ---

 

[Himmelweiss]

Hat soweit geholfen, konnte AntiVir installieren und bin gerade am updaten und scannen.

Dennoch denke ich das da noch so paar faule dinger da sind ?

 

[raman]

Teste diese Datei C:\Windows\System32\drivers\blah bitte bei www.virustotal.com und schaue, was du in diesem Ordner findest C:\Windows\System32\drivers\down

Es finden sich viele "AV-Reste" auf deinem Rechner. Am besten waere es, wenn du noch ein aktuelles Backup mit Acronis erstellt haettest, bzw wenn du die Systemwiederherstelung nutzen koenntest. Zu einem Zeitpunkt vor der Infektion.

Eigentlich ist bei einer Bagle Variante neu aufsetzen das efektivste, aber das Wechseln von allen Passworten ist pflicht!

Wie hast du dir diesen Trojaner eingefangen?

 

[Himmelweiss]

Teste diese Datei C:\Windows\System32\drivers\blah bitte bei www.virustotal.com

Das ist die hdlrrr.exe die ich umbenannt habe (aus dem anderen Thread hab ich das her), denke aber mal die kann ich jetzt löschen.

Scan ergab jedenfalls:
AhnLab-V3 2008.1.5.11 2008.01.05 -
AntiVir 7.6.0.46 2008.01.04 -
Authentium 4.93.8 2008.01.05 -
Avast 4.7.1098.0 2008.01.05 -
AVG 7.5.0.516 2008.01.05 IRC/BackDoor.SdBot3.XYR
BitDefender 7.2 2008.01.06 DeepScan:Generic.Malware.SP!VPkWkg.2ABF7192
CAT-QuickHeal 9.00 2008.01.05 (Suspicious) - DNAScan
ClamAV 0.91.2 2008.01.06 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.01.05 Win32.HLLM.Beagle
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.05 -
FileAdvisor 1 2008.01.06 -
Fortinet 3.14.0.0 2008.01.06 W32/Bagle.DE!tr.dldr
F-Prot 4.4.2.54 2008.01.05 -
F-Secure 6.70.13030.0 2008.01.05 Trojan-Downloader.Win32.Bagle.hk
Ikarus T3.1.1.15 2008.01.06 Backdoor.Win32.IRCBot.abp
Kaspersky 7.0.0.125 2008.01.06 Trojan-Downloader.Win32.Bagle.hk
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.06 -
NOD32v2 2767 2008.01.06 Win32/Bagle.LM
Norman 5.80.02 2008.01.04 SDBot.gen8
Panda 9.0.0.4 2008.01.05 -
Prevx1 V2 2008.01.06 Heuristic: Suspicious Self Modifying EXE
Rising 20.25.60.00 2008.01.06 -
Sophos 4.24.0 2008.01.06 -
Sunbelt 2.2.907.0 2008.01.05 VIPRE.Suspicious
Symantec 10 2008.01.06 Trojan.Lodear
TheHacker 6.2.9.181 2008.01.05 W32/Behav-Heuristic-064
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.05 -
Webwasher-Gateway 6.6.2 2008.01.04 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 495252 bytes
MD5: 85260b1aa1fe2b5cdb1bce9d5b1b7adc
SHA1: 7c7c7828731be2e73e8258fb7cd1bd3750c7e6da
PEiD: Themida/WinLicense V1.8.0.2 + -> Oreans Technologies
packers: Themida
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E42F920394FAB99A8EA107DD2A38DC0002BEE51F
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

und schaue, was du in diesem
Ordner findest C:\Windows\System32\drivers\down

Ziemlich viele numerische .exe Dateien, 124141.exe 14231.exe usw., in Quarantäne verschieben mit Antivir ? Löschen ?

Es finden sich viele "AV-Reste" auf deinem Rechner. Am besten waere es, wenn du noch ein aktuelles Backup mit Acronis erstellt haettest, bzw wenn du die Systemwiederherstelung nutzen koenntest. Zu einem Zeitpunkt vor der Infektion.

Systemwiederherstellung war ebenfalls infiziert, daher gelöscht, war nicht mehr möglich zu einem früheren Zeitpunkt wiederherzustellen.

AV-Reste ? Könnte von den vielen versuchen kommen AV zu installieren als es noch nicht ging.

Eigentlich ist bei einer Bagle Variante neu aufsetzen das efektivste, aber das Wechseln von allen Passworten ist pflicht!
?

Eigentlich ja, aber da ich ungern bei sowas aufgebe, und mich das auch interessiert, will ich versuchen das best möglichste daraus zu machen.

Passwörter wurden bereits geändert.

Wie hast du dir diesen Trojaner eingefangen?

Eine sehr gute Frage, wollte für Photoshop ein Plugin installieren (eine .exe), und die war mit sicherheit infiziert da nichts passiert ist als ich sie ausgeführt habe. Hab die .exe dann in Prozesse gesehen und sofort beendet, aber natürlich zu spät.


Und danke für die Hilfe !

 

[raman]

Ich hoffe du hast die Passwoerter erst geaendert, nachdem der Bagle weg war?

Den Down Ordner kannst du loeschen.
Da Antivir zu diesem Zeitpunkt diese Baglevariante verpasst, mache bitte einen Kontrollscan mit

dem Kaspersky removalTool (neuste Version nutzen:

http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

und danach noch mit Drweb Cureit: http://freedrweb.com/?lng=de

Sachen, die von Kaspersky gefunden wurden darfst du loeschen, sachen mit Drweb erstal nicht.

Es waere nett, wenn du die Reporte von beiden Scannern posten koenntest.

 

[Himmelweiss]

Hat wohl etwas länger gedauert.
hier erstmal Kaspersky removalTool, Dr.Web läuft gerade noch.


Scan
----
Scanned: 1043821
Detected: 4
Untreated: 0
Start time: 06.01.2008 13:35:34
Duration: 06:27:46
Finish time: 06.01.2008 20:03:20


Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan-Downloader.Win32.Bagle.hk File: C:\$Recycle.Bin\S-1-5-21-2570433467-2539904736-2210262265-1000\$R7YTC5J
deleted: Trojan program Trojan-Downloader.Win32.Bagle.hk File: C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
deleted: Trojan program Backdoor.Win32.Bifrose.act File: C:\Program Files\win32GI\svchost.exe
deleted: adware not-a-virus:AdWare.Win32.Stud.b File: C:\Windows\System32\dqnhpast.dll//UPX


Events
------
Time Name Status Reason
---- ---- ------ ------
06.01.2008 13:41:06 File: C:\$Recycle.Bin\S-1-5-21-2570433467-2539904736-2210262265-1000\$R7YTC5J detected Trojan program 'Trojan-Downloader.Win32.Bagle.hk'
06.01.2008 13:41:06 File: C:\$Recycle.Bin\S-1-5-21-2570433467-2539904736-2210262265-1000\$R7YTC5J not disinfected postponed
06.01.2008 15:03:57 File: c:\$recycle.bin\s-1-5-21-2570433467-2539904736-2210262265-1000\$r7ytc5j detected Trojan program 'Trojan-Downloader.Win32.Bagle.hk'
06.01.2008 15:04:39 File: c:\$recycle.bin\s-1-5-21-2570433467-2539904736-2210262265-1000\$r7ytc5j deleted
06.01.2008 17:54:08 File: C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe detected Trojan program 'Trojan-Downloader.Win32.Bagle.hk'
06.01.2008 17:54:09 File: C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe not disinfected postponed
06.01.2008 17:54:24 File: c:\program files\google\googletoolbarnotifier\1.2.1128.5462\googletoolbarnotifier.exe detected Trojan program 'Trojan-Downloader.Win32.Bagle.hk'
06.01.2008 17:54:24 File: c:\program files\google\googletoolbarnotifier\1.2.1128.5462\googletoolbarnotifier.exe deleted
06.01.2008 18:24:37 File: C:\Program Files\win32GI\svchost.exe detected Trojan program 'Backdoor.Win32.Bifrose.act'
06.01.2008 18:24:37 File: C:\Program Files\win32GI\svchost.exe not disinfected postponed
06.01.2008 18:25:54 File: c:\program files\win32gi\svchost.exe detected Trojan program 'Backdoor.Win32.Bifrose.act'
06.01.2008 18:25:54 File: c:\program files\win32gi\svchost.exe deleted
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BifroseLA.zip/sbRecovery.reg password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BifroseLA.zip/sbRecovery.ini password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip/sbRecovery.reg password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip/sbRecovery.ini password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled1.zip/sbRecovery.reg password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled1.zip/sbRecovery.ini password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled2.zip/sbRecovery.reg password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled2.zip/sbRecovery.ini password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Allied General FAQ Agfaq.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Anhang A.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Anhang B.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Anhang C.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/ap.xls.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/B5MS9TDO.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/BetaTestApplication.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Commander - Europe At War.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/datenbankmodell.jpg.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Desktop.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Docs.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/dokumentation.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/EUROTOOL.XLA.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/GA1-FI(AE)-APS05.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/GA1-FI(AE)-APS06.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/GA1-FI(AE)-APW05_06.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/GAMES (M).LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/its.xls.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Makro.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/manual.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Pr³fung pdf.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Rar$DI00.047.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/readme.rtf.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/SQL1.doc.url password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Teufelenglish[1].doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/Vorlagen.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/W06_07.doc.LNK password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip/sbRecovery.ini password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\StudA.zip/sbRecovery.reg password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\StudA.zip/sbRecovery.ini password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.reg password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.ini password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\WinAgentbgy.zip/sbRecovery.reg password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\WinAgentbgy.zip/sbRecovery.ini password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\WinBagleE.zip/sbRecovery.reg password protected
06.01.2008 18:28:45 File: C:\ProgramData\Spybot - Search & Destroy\Recovery\WinBagleE.zip/sbRecovery.ini password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\BifroseLA.zip/sbRecovery.reg password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\BifroseLA.zip/sbRecovery.ini password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip/sbRecovery.reg password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip/sbRecovery.ini password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled1.zip/sbRecovery.reg password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled1.zip/sbRecovery.ini password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled2.zip/sbRecovery.reg password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled2.zip/sbRecovery.ini password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Allied General FAQ Agfaq.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Anhang A.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Anhang B.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Anhang C.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/ap.xls.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/B5MS9TDO.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/BetaTestApplication.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Commander - Europe At War.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/datenbankmodell.jpg.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Desktop.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Docs.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/dokumentation.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/EUROTOOL.XLA.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/GA1-FI(AE)-APS05.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/GA1-FI(AE)-APS06.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/GA1-FI(AE)-APW05_06.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/GAMES (M).LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/its.xls.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Makro.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/manual.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Pr³fung pdf.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Rar$DI00.047.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/readme.rtf.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/SQL1.doc.url password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Teufelenglish[1].doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/Vorlagen.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/W06_07.doc.LNK password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\MSOffice.zip/sbRecovery.ini password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\StudA.zip/sbRecovery.reg password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\StudA.zip/sbRecovery.ini password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.reg password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.ini password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\WinAgentbgy.zip/sbRecovery.reg password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\WinAgentbgy.zip/sbRecovery.ini password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\WinBagleE.zip/sbRecovery.reg password protected
06.01.2008 18:30:54 File: C:\Users\All Users\Spybot - Search & Destroy\Recovery\WinBagleE.zip/sbRecovery.ini password protected
06.01.2008 18:50:51 File: C:\Windows\System32\dqnhpast.dll//UPX detected adware 'not-a-virus:AdWare.Win32.Stud.b'
06.01.2008 18:50:51 File: C:\Windows\System32\dqnhpast.dll//UPX not disinfected postponed
06.01.2008 18:50:59 File: c:\windows\system32\dqnhpast.dll//UPX detected adware 'not-a-virus:AdWare.Win32.Stud.b'
06.01.2008 18:50:59 File: c:\windows\system32\dqnhpast.dll deleted



Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 1043551 4 0 4 0 18994 1267 99 465
System memory 1124 0 0 0 0 0 10 0 0
Startup objects 777 0 0 0 0 3 30 0 0
Disk boot sectors 6 0 0 0 0 0 0 0 0
6340 0 0 0 0 4 2 0 0
Mail databases 0 0 0 0 0 0 0 0 0
Computer 1034357 4 0 4 0 18987 1225 99 465
SYSTEM (C 947 0 0 0 0 0 0 0 0
WinRE (D 0 0 0 0 0 0 0 0 0
DATA (E 0 0 0 0 0 0 0 0 0
GAMES (M 0 0 0 0 0 0 0 0 0


Settings
--------
Parameter Value
--------- -----
Security Level Custom
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----
Infected: Trojan program Backdoor.Win32.Bifrose.act c:\program files\win32gi\svchost.exe 1,2 MB
Infected: Trojan program Trojan-Downloader.Win32.Bagle.hk c:\$recycle.bin\s-1-5-21-2570433467-2539904736-2210262265-1000\$r7ytc5j 483,6 KB
Infected: Trojan program Trojan-Downloader.Win32.Bagle.hk c:\program files\google\googletoolbarnotifier\1.2.1128.5462\googletoolbarnotifier.exe 483,6 KB
Infected: adware not-a-virus:AdWare.Win32.Stud.b c:\windows\system32\dqnhpast.dll 28 KB

 

[raman]

Da ist doch schon ganz was mit Vista Kompatibel. Nur ist es die falsche Software!

Schaue in diesen Ordner und sag, was du dort noch findest: C:\Program Files\win32GI\


Ich moechte nochmal meine Empfehlung fuers neu aufsetzen erneuern.....

 

[Himmelweiss]

Ach warum, macht doch Spaß

In C:\Program Files\win32GI\ befindet sich eine klog.dat Datei. VirusTotal.com konnte nichts finden.

 

[raman]

In der Datei speichert der Backdoor die Infos/Passworte/Formulare, die es verschickt(hat). Achte aufs Datum und schaue, ob du deine Passworte nochmal aendern musst.

Was hat Drweb Cureit an Resultate gebracht?

Nachtrag: Kannst du Vista noch im abgesicherten Modus starten?

 

[Himmelweiss]

In der Datei speichert der Backdoor die Infos/Passworte/Formulare, die es verschickt(hat). Achte aufs Datum und schaue, ob du deine Passworte nochmal aendern musst.

Letzter Zugriff 4.Januar, Geändert 6.Januar 04:44 Uhr

Was hat Drweb Cureit an Resultate gebracht?

Keine, da war alles in Ordnung

Nachtrag: Kannst du Vista noch im abgesicherten Modus starten?

Ja, scan von Kaspersky wurde im abgesicherten Modus durchgeführt.