lsb_un20.exe

@Nicky1889
Checke deinen PC noch mal mit dem kostenlosen Tool BlackLight von F-Secure auf Rootkit:
https://europe.f-secure.com/exclude/blacklight/index.shtml

Wenn Möglich teste die Datei einfach hiermit mit auf Malware.
http://www.virustotal.com/
oder
http://virusscan.jotti.org/de/
Beide kostenlose Dienste verbinden einen Scan mit verschiedene Programme der Antivirushersteller. Wird dabei Malware gefunden, dann poste das Ergebnis hier.
 

ich kann die datei im WINDOWS ordner nicht finden.

AVG meinte Rootkit type: hidden file,
aber auch wenn ich alle anzeigen lasse kann ich sie nicht finden.

ich lass gerade den scan mit Blacklight laufen.

Hallo,
die Datei muß auch nicht im Windows Ordner sein....
Nutze die Suchfunktion um der Datei habhaft werden zu können....
start> suchen >eingeben was gesucht werden soll...
Sir Reklov

so Blacklight hat kein hidden item gefunden.

habe ich auch schon gemacht, aber es wurde nichts gefunden.
AVG hat den Pfad so angezeigt  C:\WINDOWS\lsb_un20.exe

@Nicky1889
Hast du eine Boot-CD wie z.B. Bart-PE zu Hand?
Solange das Rootkit aktiv ist, wird du die Datei kaum mit Windows Mitteln finden.
Über eine Boot-CD ist dies kein Problem mehr.

nein hab ich nicht

wie funktioniert das dann mit der?

Hier kannst du dich z.B. dazu Schlau machen, mit Download und Anleitung.
http://www.pcwelt.de/downloads/108595/index.html

Bist du Fit genug dafür?
 

Anmerkung:
Natürlich sollte die Boot-CD auf einen sauberen Rechner erstellt werden!

 

was ist wenn ich die datei mit dem AVG anti-rootkit lösche?

Hallo,
 

was ist wenn ich die datei mit dem AVG anti-rootkit lösche

Angenommen du hast diesen Rootkit,von dessen Existens ich noch lange nicht überzeugt bin,untergejubelt bekommen.
Denkst du nicht,derjenige der dir das untergejubelt hat hat nicht Vorsorge für den Fall getroffen, das du sein Rootkit erkennst ?
Lade dir doch mal die "combo fix" von hier runter und poste den Report wie beschrieben :http://virus-protect.org/artikel/tools/combofix.html

AVG will ein Rootkit kennen das ein eigentlicher Scanner dafür nicht kennt ?
Du könntest auch noch eine Kontrolle mit "Gmer" machen...
Sir Reklov

 

was ist wenn ich die datei mit dem AVG anti-rootkit lösche?

Risiko!
Wir wissen nicht mit Sicherheit was es ist, auch nicht ob es Gut oder Böse ist und kennen somit die Folgen nicht.
Der PC könnte danach laufen wie immer oder im schlimmsten Fall bootet er nicht mehr.
 

also wenn ich ombofix ausführe bleib in dem fenster immer please wait stehen.

so ein auszug aus dem log-file von GMER:

---- Files - GMER 1.0.13 ----

File            C:\Documents and Settings\All Users\Application Data\Tenebril\SpyCatcher\HiddenFiles.txt                                                                                     
File            C:\Documents and Settings\All Users\Application Data\Tenebril\SpyCatcher\QuarantinedExecutables.txt                                                                           
File            C:\Documents and Settings\All Users\Application Data\Tenebril\SpyCatcher\QuarantinedLibraries.txt                                                                             
File            C:\WINDOWS\lsb_un20.exe                                                                                                                                                       
File            D:\Programme\GameSpy Arcade\pw32.dll                                                                                                                                         
File            D:\Programme\GameSpy Arcade\Skins\(default3)\gsg_radar.avi                                                                                                                   
 

jetzt hab ich den report:

Teil 1:

"Dominic" - 2007-07-22 13:35:45 - ComboFix 07-07-17.8 - Service Pack 2  NTFS 


(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\_000110_.tmp.dll


(((((((((((((((((((((((((   Files Created from 2007-06-22 to 2007-07-22  )))))))))))))))))))))))))))))))


2007-07-22 12:06   51,200   --a------   C:\WINDOWS\nircmd.exe
2007-07-20 16:55   <DIR>   d--------   C:\DOKUME~1\Dominic\.gimp-2.2
2007-07-20 16:51   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-07-16 16:45   29,704   --a------   C:\WINDOWS\system32\uxtuneup.dll
2007-07-16 16:44   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\TuneUp Software
2007-07-15 19:23   <DIR>   d--------   C:\DOKUME~1\Susanne\ANWEND~1\Google
2007-07-15 16:27   307,200   --a-s----   C:\WINDOWS\system32\InterceptHelper.dll
2007-07-15 16:27   176,128   --a-s----   C:\WINDOWS\system32\Interceptor.dll
2007-07-15 16:27   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Tenebril
2007-07-15 16:27   <DIR>   d--------   C:\Documents and Settings
2007-07-15 16:07   <DIR>   d--------   C:\WINDOWS\system32\tenarchlib
2007-07-15 16:07   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\Tenebril
2007-07-15 15:32   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\Lavasoft
2007-07-14 18:55   6,291,456   --a------   C:\DOKUME~1\Dominic\ntuser.dat
2007-07-12 13:01   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\InstallShield
2007-07-10 20:23   <DIR>   d--------   C:\Programme\Gemeinsame Dateien\Corel
2007-07-10 20:23   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\Corel
2007-07-10 20:23   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Corel
2007-07-10 20:20   88   -r-hs----   C:\WINDOWS\system32\2445337628.sys
2007-07-10 20:20   2,516   --ahs----   C:\WINDOWS\system32\KGyGaAvL.sys
2007-07-10 19:54   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\Creature House
2007-07-10 19:54   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Creature House
2007-07-10 12:52   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\Thunderbird
2007-07-10 12:52   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\Talkback
2007-07-09 18:52   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\Ulead Systems
2007-07-09 18:51   <DIR>   d--------   C:\Programme\Gemeinsame Dateien\Ulead Systems
2007-07-09 18:51   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
2007-07-09 18:50   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ulead Systems
2007-07-07 17:49   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-07-06 20:52   35,344   --ah-----   C:\WINDOWS\system32\mlfcache.dat
2007-07-04 22:27   10,872   --a------   C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-07-04 16:57   81,768   --a------   C:\WINDOWS\system32\xinput1_3.dll
2007-07-04 16:57   62,744   --a------   C:\WINDOWS\system32\xinput1_2.dll
2007-07-04 16:57   443,752   --a------   C:\WINDOWS\system32\d3dx10_33.dll
2007-07-04 16:57   3,495,784   --a------   C:\WINDOWS\system32\d3dx9_33.dll
2007-07-04 16:57   3,426,072   --a------   C:\WINDOWS\system32\d3dx9_32.dll
2007-07-04 16:57   261,480   --a------   C:\WINDOWS\system32\xactengine2_7.dll
2007-07-04 16:57   255,848   --a------   C:\WINDOWS\system32\xactengine2_6.dll
2007-07-04 16:57   251,672   --a------   C:\WINDOWS\system32\xactengine2_5.dll
2007-07-04 16:57   237,848   --a------   C:\WINDOWS\system32\xactengine2_4.dll
2007-07-04 16:57   236,824   --a------   C:\WINDOWS\system32\xactengine2_3.dll
2007-07-04 16:57   2,414,360   --a------   C:\WINDOWS\system32\d3dx9_31.dll
2007-07-04 16:57   15,128   --a------   C:\WINDOWS\system32\x3daudio1_1.dll
2007-07-04 16:57   1,123,696   --a------   C:\WINDOWS\system32\D3DCompiler_33.dll
2007-07-03 19:41   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\PCF-VLC
2007-07-02 18:37   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\Participatory Culture Foundation
2007-06-30 18:41   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\WinRAR
2007-06-29 21:57   <DIR>   d--------   C:\Programme\iTunes
2007-06-29 21:57   <DIR>   d--------   C:\Programme\iPod
2007-06-29 21:56   <DIR>   d--------   C:\Programme\Gemeinsame Dateien\Apple
2007-06-29 21:56   <DIR>   d--------   C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
2007-06-29 21:04   383,238   --a------   C:\WINDOWS\system32\libmp3lame-0.dll
2007-06-29 21:04   3,086,336   --a------   C:\WINDOWS\system32\NCMedia.dll
2007-06-29 21:04   3,086,336   --a------   C:\WINDOWS\system32\flvvideo.dll
2007-06-29 21:04   <DIR>   d--------   C:\videooutput
2007-06-29 21:04   <DIR>   d--------   C:\Programme\Smallvideosoft
2007-06-29 20:57   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\AVS4YOU
2007-06-29 20:49   <DIR>   d--------   C:\Programme\Total Video Converter
2007-06-28 17:04   5,728   --a------   C:\WINDOWS\system32\drivers\WmVirHid.sys
2007-06-28 17:04   44,288   --a------   C:\WINDOWS\system32\drivers\WmXlCore.sys
2007-06-28 17:04   21,216   --a------   C:\WINDOWS\system32\drivers\WmFilter.sys
2007-06-28 17:04   13,920   --a------   C:\WINDOWS\system32\drivers\WmHidLo.sys
2007-06-28 17:04   10,144   --a------   C:\WINDOWS\system32\drivers\WmBEnum.sys
2007-06-28 17:04   <DIR>   d--------   C:\Programme\Logitech
2007-06-28 17:04   <DIR>   d--------   C:\Programme\Gemeinsame Dateien\Logitech
2007-06-22 18:43   722,192   --a------   C:\WINDOWS\system32\vb40032.dll
2007-06-22 18:43   35,648   --a------   C:\WINDOWS\system32\vb4de32.dll
2007-06-22 18:43   <DIR>   d--------   C:\Programme\Hentrich-Software
2007-06-22 18:43   <DIR>   d--------   C:\DOKUME~1\Susanne\ANWEND~1\NettoPro


((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-21 15:41:58   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\OpenOffice.org2
2007-07-21 09:11:12   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\Xfire
2007-07-21 08:55:03   359,808   ----a-w   C:\WINDOWS\system32\drivers\tcpip.sys
2007-07-20 20:27:10   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\LimeWire
2007-07-20 17:47:35   2,560   ----a-w   C:\WINDOWS\system32\BitCometRes.dll
2007-07-20 14:51:00   --------   d-----w   C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-20 11:13:34   --------   d--h--w   C:\Programme\InstallShield Installation Information
2007-07-15 17:34:19   --------   d-----w   C:\Programme\Google
2007-07-15 07:55:23   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\ICQ
2007-07-14 21:21:27   --------   d-s---w   C:\Programme\Xfire
2007-07-14 16:53:14   --------   d-----w   C:\Programme\OpenOffice.org 2.2
2007-07-13 15:11:10   80,856   ----a-w   C:\WINDOWS\system32\perfc007.dat
2007-07-13 15:11:10   427,754   ----a-w   C:\WINDOWS\system32\perfh007.dat
2007-07-09 16:51:02   --------   d-----w   C:\Programme\Gemeinsame Dateien\InstallShield
2007-07-06 16:56:18   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\Hamachi
2007-07-04 20:11:43   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\Skype
2007-07-01 10:22:13   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\Apple Computer
2007-06-29 19:03:44   --------   d-----w   C:\Programme\Gemeinsame Dateien\AVSMedia
2007-06-28 15:27:31   163,644   ----a-w   C:\WINDOWS\system32\drivers\secdrv.sys
2007-06-22 20:34:03   15   ----a-w   C:\DOKUME~1\Dominic\ANWEND~1\SYS386LS.DAT
2007-06-22 20:33:45   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\Win LohnInfo
2007-06-22 20:33:40   --------   d-----w   C:\Programme\Win LohnInfo
2007-06-19 16:26:32   --------   d-----w   C:\Programme\Ashampoo
2007-06-18 19:52:50   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\Publish Providers
2007-06-18 19:48:49   --------   d-----w   C:\Programme\Microsoft SQL Server
2007-06-18 19:48:35   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\Sony
2007-06-13 13:09:29   --------   d-----w   C:\Programme\GameJack 5
2007-06-12 15:07:58   25,544   ----a-w   C:\WINDOWS\system32\drivers\hamachi.sys
2007-06-04 13:18:48   9,344   ----a-w   C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02   8,320   ----a-w   C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56   6,272   ----a-w   C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-05-29 18:50:01   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\teamspeak2
2007-05-25 19:30:56   --------   d-----w   C:\Programme\Gemeinsame Dateien\Ahead
2007-05-22 18:34:30   --------   d-----w   C:\Programme\Selteco
2007-05-22 16:53:14   --------   d-----w   C:\Programme\Clicktionary
2007-05-16 15:11:44   683,520   ----a-w   C:\WINDOWS\system32\inetcomm.dll
2007-04-26 16:44:15   2,468   ----a-w   C:\WINDOWS\mozver.dat
2007-04-25 14:22:27   144,896   ----a-w   C:\WINDOWS\system32\schannel.dll
2007-03-01 15:33:45   0   -c--a-w   C:\DOKUME~1\Dominic\ANWEND~1\wklnhst.dat


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
 
 

 

Teil 2:

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-10-22 23:08   62080   --a------   C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0A87E45F-537A-40B4-B812-E2544C21A09F}]
2005-08-22 21:57   118784   --a------   D:\Programme\GhostSurf 2006 Platinum\SCActiveBlock.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}]
2007-07-04 18:28   513336   --a------   D:\Programme\Bitcomet\tools\BitCometBHO_1.1.7.4.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-12-15 04:23   440056   --a------   C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2006-10-22 13:22 C:\WINDOWS\system32\nwiz.exe]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-04-21 18:05]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-24 04:27 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-25 03:06 C:\WINDOWS\ALCWZRD.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=1 (0x1)
"SynchronousUserGroupPolicy"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"=0 (0x0)
"LinkResolveIgnoreLinkInfo"=1 (0x1)
"NoResolveSearch"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"=1 (0x1)
"NoSaveSettings"=0 (0x0)
"NoRecentDocsHistory"=0 (0x0)
"NoLowDiskSpaceChecks"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="D:\Programme\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-05-30 14:29]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=interceptor.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Dienst-Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dienst-Manager.lnk
backup=C:\WINDOWS\pss\Dienst-Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SpyCatcher Protector.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SpyCatcher Protector.lnk
backup=C:\WINDOWS\pss\SpyCatcher Protector.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Dominic^Startmenü^Programme^Autostart^GMX Clicktionary 2.8.lnk]
path=C:\Dokumente und Einstellungen\Dominic\Startmenü\Programme\Autostart\GMX Clicktionary 2.8.lnk
backup=C:\WINDOWS\pss\GMX Clicktionary 2.8.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Dominic^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk]
path=C:\Dokumente und Einstellungen\Dominic\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"D:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"D:\Programme\Adobe Reader 8\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostSurf Erinnerung]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostSurf Reminder]
"D:\Programme\GhostSurf 2006 Platinum\Privacy Control Center.exe" reminder

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostSurfDelSatellite]
"D:\Programme\GhostSurf 2005 Platinum\DeleteSatellite.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GMX_GMX MultiMessenger]
"C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
"D:\Programme\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"D:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
D:\Programme\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PATHPILOT]
D:\Programme\Smart Sound Recorder\RecSys.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
D:\Programme\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
"C:\Programme\Spyware Doctor\SDTrayApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
D:\Programme\Magix\TrayServer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WheelMouse]
C:\Programme\A4Tech\Mouse\Amoumain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinDVR SchSvr]
"C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"GhostSurf Reminder"="D:\Programme\GhostSurf 2006 Platinum\Privacy Control Center.exe" reminder
"SMSERIAL"=sm56hlpr.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - netsvcs
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-07-22 10:08:00  C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.1040 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-22 13:37:41
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQuerySystemInformation

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000004c5

scanning hidden files ...

C:\WINDOWS\lsb_un20.exe

scan completed successfully
hidden files: 1

**************************************************************************

Completion time: 2007-07-22 13:38:58
C:\ComboFix-quarantined-files.txt ... 2007-07-22 13:38

   --- E O F ---
 

Hallo,

hast du mal alle Dateien sichtbar gemacht und versteckte und Systemdateien anzeigen angehakt ?
also der Pfad zur Datei ist eindeutig da und vorhanden....

 

C:\WINDOWS\lsb_un20.exe

die "suchen" Funktion hat was gebracht ? Wenn du die Datei hast lasse sie bei Jotti oder Virustotal checken.

Im Übrigen glaube ich doch an eine Teamspeak Funktion .Das ist nämlich bei dir auch installiert...
 

2007-05-29 18:50:01   --------   d-----w   C:\DOKUME~1\Dominic\ANWEND~1\teamspeak2
 

könnte auch daher kommen :
 

2007-07-10 12:52   <DIR>   d--------   C:\DOKUME~1\Dominic\ANWEND~1\Talkback

den hier würde ich deinstallieren,der ist für eine ganze Reihe von Falschmeldungen bekannt...
 

C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SpyCatcher Protector.lnk]

Im Übrigen haben mindestens zwei Leute Zugriff mit rootrechten ... bzw.Admin sein muß nicht jeder...

Du mußt eine fürchterliche Angst vor Spionen haben....
Ghostsurf wird dir bei bitcomet auch nicht helfen
Ist AVG eine Testversion und mittlerweile abgelaufen ?installation war am  

[2007-04-21 18:05]
 

Kommen noch automatische Updates ?

Finde die datei und poste das Ergebniss bei Jotti ...
Sir Reklov