| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.08.2011, 18:50
| #1 |
 |  stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Hi, erstmal toll, dass es so eine Seite gibt auf der ihr euch mit Problemen fremder Leute beschäftigt!   Zu meinem Problem: vor kurzem ist mir aufgefallen, dass sich Firefox komisch verhält. Ist oft abgestürzt; Links, neue Tabs und vor allem Google brauchen ungewöhnlich lange zum Laden. Avira hat nichts gefunden, mit Malwarebytes wurde ich allerdings fündig: stolen.data im \system32 Ordner.  Konnte auch entfernt werden, kam aber immer wieder. Auf nen Tip hab ich ComboFix ausprobiert und es scheint den Trojaner gelöscht zu haben. Allerdings ist Firefox immer noch langsam und verhält sich komisch. Ich hab schon ein Neues Profil erstellt, de- und reinstalliert, safemodus etc. ausprobiert: keine Änderung. Hab ich noch Reste von stolen.data oder sonstwas auf meinem Rechner?  Schonmal vielen Dank! Äleks Edit: Ah, da fällt mir noch ein: Ich hab Babylon installiert, aber nachdem ich gemerkt habe, dass das nur ne Testversion war und Avira irgendein Problem damit hatte, hab ichs deinstallliert. Geändert von äleks (01.08.2011 um 19:26 Uhr) |
|
01.08.2011, 18:58
| #2 |
| | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Hier die Log Files:
__________________OTL:OTL Logfile: Code:
ATTFilter OTL logfile created on: 01.08.2011 18:29:55 - Run 3 OTL by OldTimer - Version 3.2.26.1 Folder = C:\Dokumente und Einstellungen\Äleks_2\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,22 Gb Available Physical Memory | 61,03% Memory free 4,82 Gb Paging File | 4,05 Gb Available in Paging File | 83,88% Paging File free Paging file location(s): D:\pagefile.sys 1000 3000E:\pagefile.sys 0 0 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 20,00 Gb Total Space | 6,07 Gb Free Space | 30,37% Space Free | Partition Type: NTFS Drive D: | 80,00 Gb Total Space | 57,25 Gb Free Space | 71,57% Space Free | Partition Type: NTFS Drive E: | 198,08 Gb Total Space | 55,28 Gb Free Space | 27,91% Space Free | Partition Type: NTFS Computer Name: MASCHINEALTER | User Name: Äleks_2 | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.08.01 14:23:30 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\OTL.exe PRC - [2011.07.06 19:52:38 | 000,449,584 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2011.07.06 19:52:38 | 000,366,640 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2011.07.03 22:19:13 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.06.21 17:04:25 | 000,343,040 | ---- | M] () -- D:\Downloads\wpc_build280702xp\Wallpaper.exe PRC - [2011.04.27 13:30:05 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.03.24 13:24:36 | 000,409,320 | ---- | M] (SANDBOXIE L.T.D) -- C:\Programme\Sandboxie\SbieCtrl.exe PRC - [2011.03.24 13:24:34 | 000,072,936 | ---- | M] (SANDBOXIE L.T.D) -- C:\Programme\Sandboxie\SbieSvc.exe PRC - [2011.02.18 17:37:16 | 000,037,664 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2010.11.04 12:15:41 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.07.20 11:45:24 | 001,531,904 | ---- | M] (Nokia) -- C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe PRC - [2010.03.23 14:19:32 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe PRC - [2010.01.19 18:00:26 | 000,858,384 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe PRC - [2010.01.19 17:56:42 | 001,392,640 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe PRC - [2010.01.19 17:56:40 | 000,364,544 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\WiFi\bin\WLKEEPER.exe PRC - [2010.01.19 17:52:32 | 000,954,368 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\WiFi\bin\S24EvMon.exe PRC - [2010.01.19 17:44:10 | 001,206,544 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe PRC - [2010.01.19 17:41:46 | 000,473,360 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2008.04.14 09:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.09.02 13:58:52 | 000,495,616 | ---- | M] () -- C:\Programme\RocketDock\RocketDock.exe PRC - [2007.05.14 14:23:32 | 001,191,936 | ---- | M] (Dell Inc) -- C:\Programme\Dell\QuickSet\quickset.exe PRC - [2007.05.10 10:22:32 | 000,405,504 | ---- | M] (SigmaTel, Inc.) -- C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe PRC - [2007.02.16 18:58:12 | 000,856,064 | ---- | M] (Christian Diefer) -- C:\Programme\I8kfanGUI\I8kfanGUI.exe PRC - [2006.01.02 18:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe PRC - [2003.09.03 23:43:24 | 000,106,496 | ---- | M] (Lexmark International, Inc.) -- C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe PRC - [2003.09.03 23:11:50 | 000,053,248 | ---- | M] (Lexmark International, Inc.) -- C:\Programme\Lexmark 3100 Series\lxbrbmon.exe ========== Modules (SafeList) ========== MOD - [2011.08.01 14:23:30 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\OTL.exe MOD - [2009.04.15 01:17:52 | 000,430,080 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\vbscript.dll MOD - [2009.04.14 23:19:30 | 000,473,600 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wbem\fastprox.dll MOD - [2008.04.14 09:52:32 | 000,715,776 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\sxs.dll MOD - [2008.04.14 09:52:16 | 000,586,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\mlang.dll MOD - [2008.04.14 09:52:08 | 000,060,416 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cabinet.dll MOD - [2008.04.14 08:50:12 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll MOD - [2008.04.14 07:52:34 | 000,214,528 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wbem\wbemcomn.dll MOD - [2008.04.14 07:52:34 | 000,178,176 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wbem\wbemdisp.dll MOD - [2008.04.14 07:52:34 | 000,099,840 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wbem\wmiutils.dll MOD - [2008.04.14 07:52:34 | 000,043,520 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wbem\wbemsvc.dll MOD - [2008.04.14 07:52:34 | 000,018,944 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wbem\wbemprox.dll MOD - [2007.09.02 13:57:36 | 000,069,632 | ---- | M] () -- C:\Programme\RocketDock\RocketDock.dll MOD - [2007.05.14 14:24:00 | 000,098,304 | ---- | M] () -- C:\Programme\Dell\QuickSet\dadkeyb.dll ========== Win32 Services (SafeList) ========== SRV - [2011.07.06 19:52:38 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2011.07.03 22:19:13 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.04.27 13:30:05 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.03.24 13:24:34 | 000,072,936 | ---- | M] (SANDBOXIE L.T.D) [Auto | Running] -- C:\Programme\Sandboxie\SbieSvc.exe -- (SbieSvc) SRV - [2011.02.18 17:37:16 | 000,037,664 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2010.06.14 15:07:14 | 000,615,936 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) SRV - [2010.03.23 14:19:32 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND) SRV - [2010.01.19 18:00:26 | 000,858,384 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Intel\WiFi\bin\EvtEng.exe -- (EvtEng) Intel(R) SRV - [2010.01.19 17:56:40 | 000,364,544 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Intel\WiFi\bin\WLKEEPER.exe -- (WLANKEEPER) Intel(R) SRV - [2010.01.19 17:52:32 | 000,954,368 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Intel\WiFi\bin\S24EvMon.exe -- (S24EventMonitor) Intel(R) SRV - [2010.01.19 17:41:46 | 000,473,360 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe -- (RegSrvc) Intel(R) SRV - [2005.11.14 01:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Running] -- -- (xpsec) DRV - File not found [Kernel | On_Demand | Running] -- -- (xcpip) DRV - [2011.07.06 19:52:42 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2011.07.03 22:19:17 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.07.03 22:19:17 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.03.24 13:24:30 | 000,126,696 | ---- | M] (SANDBOXIE L.T.D) [Kernel | On_Demand | Running] -- C:\Programme\Sandboxie\SbieDrv.sys -- (SbieDrv) DRV - [2010.11.09 15:35:30 | 000,021,992 | ---- | M] (CPUID) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\cpuz135_x32.sys -- (cpuz135) DRV - [2010.06.03 17:23:01 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - [2010.05.31 18:29:12 | 000,039,480 | ---- | M] (NCH Software) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\stdriver32.sys -- (stdriver) DRV - [2010.03.23 14:15:36 | 000,308,859 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA) DRV - [2010.02.26 14:32:58 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt) DRV - [2010.02.26 14:32:46 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev) DRV - [2010.02.26 14:32:44 | 000,022,528 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - [2010.02.26 14:32:44 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd) DRV - [2010.02.23 19:10:03 | 000,138,504 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PnkBstrK.sys -- (PnkBstrK) DRV - [2010.01.13 09:24:42 | 006,598,656 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NETw5x32.sys -- (NETw5x32) Intel(R) DRV - [2009.10.20 19:47:46 | 000,113,280 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbnet.sys -- (ewusbnet) DRV - [2009.10.12 16:21:54 | 000,100,736 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbdev.sys -- (hwusbdev) DRV - [2009.09.10 15:55:52 | 000,102,528 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard) DRV - [2009.08.10 02:46:38 | 000,013,952 | ---- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans) DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.11.16 19:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE) DRV - [2008.08.26 10:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd) DRV - [2007.11.14 20:05:16 | 000,394,952 | ---- | M] (Zone Labs, LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2007.09.26 06:01:32 | 002,236,032 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETw4x32.sys -- (NETw4x32) Intel(R) DRV - [2007.05.10 10:24:34 | 001,222,840 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA) DRV - [2007.02.16 11:05:48 | 000,014,464 | ---- | M] (Christian Diefer) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\fanio.sys -- (fanio) DRV - [2007.01.18 21:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA) DRV - [2006.11.21 04:25:44 | 000,045,568 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp) DRV - [2006.11.15 00:16:24 | 000,032,256 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\rimmptsk.sys -- (rimmptsk) DRV - [2006.11.14 19:42:46 | 000,043,520 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk) DRV - [2006.11.14 17:35:20 | 000,037,376 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\rixdptsk.sys -- (rismxdp) DRV - [2006.05.23 22:06:36 | 001,578,496 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2005.08.12 17:50:46 | 000,016,128 | ---- | M] (Dell Inc) [Kernel | System | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS -- (APPDRV) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1547161642-1592454029-1417001333-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.) FF - HKLM\Software\MozillaPlugins\@idsoftware.com/QuakeLive: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll (id Software Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\Programme\TVUPlayer\npTVUAx.dll (TVU networks) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17: C:\Programme\Veetle\VLCBroadcast\npvbp.dll (Veetle Inc) FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.17: C:\Programme\Veetle\plugins\npVeetle.dll (Veetle Inc) FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.17: C:\Programme\Veetle\Player\npvlc.dll (Veetle Inc) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.0.1: C:\Programme\VLC\npvlc.dll (the VideoLAN Team) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}: C:\Programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\ [2010.10.25 10:50:28 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2010.11.10 00:52:33 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5021 FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011.07.29 01:43:23 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.07.29 17:04:16 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}: C:\Programme\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension\ [2010.10.25 10:50:29 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5021 FF - HKEY_CURRENT_USER\software\mozilla\Thunderbird\Extensions\\{d591241b-9967-418c-9b7d-ee128131d60d}: C:\Programme\GMX MultiMessenger\ThunderbirdSyncProxy [2009.10.29 12:22:03 | 000,000,000 | ---D | M] [2011.07.29 17:05:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\mozilla\Extensions [2011.07.31 11:39:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\mozilla\Firefox\Profiles\e1tvxtj3.default\extensions [2011.07.29 17:12:50 | 000,000,000 | ---D | M] (BitDefender QuickScan) -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\mozilla\Firefox\Profiles\e1tvxtj3.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360} [2011.07.29 17:04:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions File not found (No name found) -- File not found (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ÄLEKS_2\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\E1TVXTJ3.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI File not found (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ÄLEKS_2\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\E1TVXTJ3.DEFAULT\EXTENSIONS\{E001C731-5E37-4538-A5CB-8168736A2360} [2009.10.21 18:32:51 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2011.07.08 09:31:38 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.08.01 16:14:25 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe (Dell Inc) O4 - HKLM..\Run: [IntelWireless] C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe (Intel(R) Corporation) O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe (Intel(R) Corporation) O4 - HKLM..\Run: [Lexmark 3100 Series] C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe (Lexmark International, Inc.) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe (Nokia) O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.) O4 - HKU\S-1-5-21-1547161642-1592454029-1417001333-1004..\Run: [i8kfangui] C:\Programme\I8kfanGUI\I8kfanGUI.exe (Christian Diefer) O4 - HKU\S-1-5-21-1547161642-1592454029-1417001333-1004..\Run: [RocketDock] C:\Programme\RocketDock\RocketDock.exe () O4 - HKU\S-1-5-21-1547161642-1592454029-1417001333-1004..\Run: [SandboxieControl] C:\Programme\Sandboxie\SbieCtrl.exe (SANDBOXIE L.T.D) O4 - HKU\S-1-5-21-1547161642-1592454029-1417001333-1004..\Run: [WallPaper] D:\Downloads\wpc_build280702xp\Wallpaper.exe () O4 - Startup: C:\Dokumente und Einstellungen\Äleks_2\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1547161642-1592454029-1417001333-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-1547161642-1592454029-1417001333-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\S-1-5-21-1547161642-1592454029-1417001333-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-21-1547161642-1592454029-1417001333-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Äleks_2\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Äleks_2\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.10.20 11:45:55 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.08.01 16:25:48 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2011.08.01 14:49:09 | 000,000,000 | RHSD | C] -- C:\cmdcons [2011.08.01 14:45:41 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2011.08.01 14:45:41 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2011.08.01 14:45:41 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2011.08.01 14:45:41 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2011.08.01 14:45:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2011.08.01 14:45:30 | 000,000,000 | ---D | C] -- C:\Qoobox [2011.08.01 14:45:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Start Menu [2011.08.01 14:23:29 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\OTL.exe [2011.08.01 14:17:18 | 004,159,367 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\Combo-Fix.exe [2011.07.31 14:21:58 | 000,000,000 | ---D | C] -- C:\Config.Msi [2011.07.31 14:21:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nex Technologies [2011.07.31 14:21:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Nex Technologies [2011.07.31 14:21:10 | 000,000,000 | ---D | C] -- C:\Programme\NeuroExplorer [2011.07.29 17:12:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\QuickScan [2011.07.29 17:05:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Lokale Einstellungen\Anwendungsdaten\Mozilla [2011.07.29 17:05:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Mozilla [2011.07.29 17:04:15 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [2011.07.29 15:31:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Malwarebytes [2011.07.29 15:31:26 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.07.29 15:31:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.07.29 15:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.07.29 15:31:21 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.07.29 15:31:21 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.07.29 15:12:57 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Recent [2011.07.29 12:13:36 | 000,000,000 | R--D | C] -- C:\Sandbox [2011.07.29 12:01:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie [2011.07.29 11:55:00 | 000,000,000 | ---D | C] -- C:\Programme\Sandboxie [2011.07.29 11:53:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Startmenü\Programme\CCleaner [2011.07.29 11:53:42 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2011.07.29 11:33:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CHIP System-Check-Tool [2011.07.29 11:33:37 | 000,032,768 | ---- | C] (*) -- C:\WINDOWS\System32\chipxum.dll [2011.07.29 11:33:37 | 000,000,000 | ---D | C] -- C:\Programme\CHIP System-Check-Tool [2011.07.29 01:45:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\DDMSettings [2011.07.29 01:43:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\DivX [2011.07.29 01:43:03 | 000,133,616 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxafs.dll [2011.07.29 01:43:03 | 000,072,176 | ---- | C] (Sonic Solutions) -- C:\WINDOWS\System32\pxhpinst.exe [2011.07.29 01:42:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DivX Plus [2011.07.29 01:40:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivX [2011.07.28 01:25:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Avira [2011.07.27 23:58:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Lokale Einstellungen\Anwendungsdaten\FUJIFILM [2011.07.27 14:20:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Eigene Dateien\Adobe [2011.07.27 13:28:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\AdobeLensProfileDownloader [2011.07.27 13:27:05 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR [2011.07.10 18:01:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\PhotoScape [2011.07.10 17:36:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CPUID [2011.07.10 17:36:30 | 000,021,992 | ---- | C] (CPUID) -- C:\WINDOWS\System32\drivers\cpuz135_x32.sys [2011.07.10 17:36:30 | 000,000,000 | ---D | C] -- C:\Programme\CPUID [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.08.01 18:27:00 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011.08.01 18:27:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011.08.01 18:19:57 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\1x5jwp8n.exe [2011.08.01 18:13:23 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.08.01 18:13:19 | 2145,845,248 | -HS- | M] () -- C:\hiberfil.sys [2011.08.01 18:11:53 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Äleks_2\defogger_reenable [2011.08.01 18:09:40 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\Defogger.exe [2011.08.01 16:14:25 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2011.08.01 14:49:13 | 000,000,461 | RHS- | M] () -- C:\boot.ini [2011.08.01 14:23:30 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\OTL.exe [2011.08.01 14:22:45 | 000,139,264 | ---- | M] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\RKUnhookerLE.EXE [2011.08.01 14:17:34 | 004,159,367 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\Combo-Fix.exe [2011.08.01 13:21:39 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.07.31 14:21:10 | 000,000,720 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\NeuroExplorer 4.lnk [2011.07.29 19:34:27 | 000,003,672 | ---- | M] () -- C:\WINDOWS\Sandboxie.ini [2011.07.29 17:23:04 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2011.07.29 17:04:17 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2011.07.29 13:28:08 | 000,053,381 | ---- | M] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\bookmarks-2011-07-29.json [2011.07.29 12:08:31 | 000,452,396 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.07.29 12:08:31 | 000,436,094 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.07.29 12:08:31 | 000,081,704 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.07.29 12:08:31 | 000,068,738 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.07.29 12:01:55 | 000,000,770 | ---- | M] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\Sandboxed Web Browser.lnk [2011.07.29 11:39:53 | 000,000,345 | ---- | M] () -- C:\Boot.bak [2011.07.28 11:54:36 | 000,436,503 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110728-115541.backup [2011.07.20 17:56:48 | 000,352,102 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110728-115436.backup [2011.07.06 19:52:42 | 000,041,272 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.07.06 19:52:42 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.07.03 22:19:17 | 000,138,192 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2011.07.03 22:19:17 | 000,066,616 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.08.01 18:19:56 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\1x5jwp8n.exe [2011.08.01 18:11:46 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\defogger_reenable [2011.08.01 18:09:40 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\Defogger.exe [2011.08.01 14:49:13 | 000,000,345 | ---- | C] () -- C:\Boot.bak [2011.08.01 14:49:10 | 000,262,448 | RHS- | C] () -- C:\cmldr [2011.08.01 14:45:41 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2011.08.01 14:45:41 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2011.08.01 14:45:41 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2011.08.01 14:45:41 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2011.08.01 14:45:41 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2011.08.01 14:22:44 | 000,139,264 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\RKUnhookerLE.EXE [2011.07.31 14:21:10 | 000,000,720 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\NeuroExplorer 4.lnk [2011.07.29 19:34:09 | 000,000,770 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\Sandboxed Web Browser.lnk [2011.07.29 17:04:17 | 000,000,708 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk [2011.07.29 17:04:17 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2011.07.29 13:28:07 | 000,053,381 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Desktop\bookmarks-2011-07-29.json [2011.07.29 12:02:00 | 000,003,672 | ---- | C] () -- C:\WINDOWS\Sandboxie.ini [2011.07.29 11:33:37 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\DriveInfo.dll [2011.07.27 13:27:55 | 000,000,904 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Lens Profile Downloader.lnk [2011.06.22 18:18:15 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL [2011.03.14 19:00:52 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI [2011.01.28 17:10:08 | 000,000,565 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\myMPQ.ini [2011.01.17 00:02:45 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.10.10 15:09:36 | 000,012,961 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Comma Separated Values (DOS).CAL [2010.10.10 15:07:42 | 000,038,429 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Comma Separated Values (DOS).ADR [2010.07.24 04:15:10 | 000,022,268 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2010.06.03 17:33:35 | 000,069,632 | ---- | C] () -- C:\WINDOWS\UNINSTCC.EXE [2010.03.23 14:26:48 | 000,201,512 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll [2010.03.23 14:17:40 | 000,197,416 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll [2010.02.28 21:52:00 | 000,017,408 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Lokale Einstellungen\Anwendungsdaten\WebpageIcons.db [2009.11.03 21:44:29 | 000,138,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys [2009.11.03 20:17:28 | 000,214,488 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe [2009.11.03 20:17:06 | 002,373,712 | ---- | C] () -- C:\WINDOWS\System32\pbsvc.exe [2009.11.03 20:17:06 | 000,075,064 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe [2009.11.03 19:03:17 | 000,039,936 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.11.02 12:42:14 | 000,000,404 | ---- | C] () -- C:\WINDOWS\lexstat.ini [2009.11.02 12:41:44 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbrvs.dll [2009.11.02 12:41:21 | 000,000,181 | ---- | C] () -- C:\WINDOWS\System32\lxbrcoin.ini [2009.10.21 21:45:03 | 000,075,632 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2009.10.21 21:24:27 | 000,011,369 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Comma Separated Values (Windows).CAL [2009.10.21 17:22:04 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\$_hpcst$.hpc [2009.10.20 18:36:05 | 000,000,376 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.10.20 17:43:44 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2009.10.20 12:50:24 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2009.10.20 12:38:46 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2009.10.20 12:37:55 | 000,157,952 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2009.10.20 12:12:22 | 000,016,480 | ---- | C] () -- C:\WINDOWS\System32\rixdicon.dll [2009.10.20 12:10:33 | 000,127,614 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2009.10.20 12:07:41 | 000,376,832 | ---- | C] () -- C:\WINDOWS\System32\AegisI5Installer.exe [2009.10.20 11:48:32 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2009.10.20 11:43:38 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2009.10.19 19:57:45 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2009.10.19 19:56:43 | 000,452,396 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2009.10.19 19:56:43 | 000,436,094 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2009.10.19 19:56:43 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2009.10.19 19:56:43 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2009.10.19 19:56:42 | 000,068,738 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2009.10.19 19:56:42 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2009.10.19 19:56:42 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2009.10.19 19:56:41 | 000,081,704 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2009.10.19 19:56:26 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2009.10.19 19:56:19 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2009.10.19 19:55:57 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2009.10.19 19:53:53 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2009.10.19 19:53:48 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2009.10.19 19:51:12 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2009.10.19 19:50:19 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2003.01.07 15:05:08 | 000,002,695 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2002.03.21 16:39:02 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\UNACEV2.DLL [1997.06.14 10:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.08.01 14:49:13 | 000,000,000 | RHSD | M] -- C:\cmdcons [2011.08.01 13:21:31 | 000,000,000 | ---D | M] -- C:\Config.Msi [2011.07.31 12:14:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2009.10.20 12:14:20 | 000,000,000 | ---D | M] -- C:\drivers [2011.08.01 14:11:04 | 000,000,000 | R--D | M] -- C:\Programme [2011.08.01 16:16:12 | 000,000,000 | ---D | M] -- C:\Qoobox [2011.08.01 16:25:48 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2011.07.29 12:13:36 | 000,000,000 | R--D | M] -- C:\Sandbox [2011.08.01 14:45:41 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.08.01 16:14:35 | 000,000,000 | ---D | M] -- C:\WINDOWS < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: EXPLORER.EXE > [2008.04.14 09:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ERDNT\cache\explorer.exe [2008.04.14 09:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 09:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe < MD5 for: REGEDIT.EXE > [2008.04.14 09:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ERDNT\cache\regedit.exe [2008.04.14 09:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008.04.14 09:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 09:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ERDNT\cache\userinit.exe [2008.04.14 09:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008.04.14 09:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2008.04.14 09:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ERDNT\cache\winlogon.exe [2008.04.14 09:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe [2008.04.14 09:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > < > < End of report > |
|
01.08.2011, 18:59
| #3 |
| | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Gmer:
__________________GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-08-01 19:35:32
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM320II rev.2AC101C4
Running: 1x5jwp8n.exe; Driver: C:\DOKUME~1\LEKS_2~1\LOKALE~1\Temp\kglcauod.sys
---- System - GMER 1.0.15 ----
SSDT BAFC9E44 ZwClose
SSDT BAFC9DFE ZwCreateKey
SSDT BAFC9E4E ZwCreateSection
SSDT BAFC9DF4 ZwCreateThread
SSDT BAFC9E03 ZwDeleteKey
SSDT BAFC9E0D ZwDeleteValueKey
SSDT BAFC9E3F ZwDuplicateObject
SSDT BAFC9E12 ZwLoadKey
SSDT BAFC9DE0 ZwOpenProcess
SSDT BAFC9DE5 ZwOpenThread
SSDT BAFC9E1C ZwReplaceKey
SSDT BAFC9E17 ZwRestoreKey
SSDT BAFC9E53 ZwSetContextThread
SSDT BAFC9E08 ZwSetValueKey
SSDT BAFC9DEF ZwTerminateProcess
Code BAE86C9C ZwRequestPort
Code BAE86D3C ZwRequestWaitReplyPort
Code BAE86BFC ZwTraceEvent
Code BAE86C9B NtRequestPort
Code BAE86D3B NtRequestWaitReplyPort
Code BAE86BFB NtTraceEvent
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!NtTraceEvent 80535108 5 Bytes JMP BAE86C00
PAGE ntkrnlpa.exe!NtRequestPort 805A2A5A 5 Bytes JMP BAE86CA0
PAGE ntkrnlpa.exe!NtRequestWaitReplyPort 805A2D86 5 Bytes JMP BAE86D40
.text win32k.sys!EngAcquireSemaphore + 2645 BF808959 5 Bytes JMP BAE86480
.text win32k.sys!EngFreeUserMem + 5502 BF80EE10 5 Bytes JMP BAE863E0
.text win32k.sys!BRUSHOBJ_pvAllocRbrush + 320C BF81E6E6 5 Bytes JMP BAE86A20
.text win32k.sys!EngSetLastError + 7659 BF828630 1 Byte [E9]
.text win32k.sys!EngSetLastError + 7659 BF828630 5 Bytes JMP BAE865C0
.text win32k.sys!EngLockSurface + 148C BF834F4F 5 Bytes JMP BAE86700
.text win32k.sys!EngCreateBitmap + D95F BF8457CB 5 Bytes JMP BAE86660
.text win32k.sys!EngGradientFill + 5128 BF8B3C72 5 Bytes JMP BAE86520
.text win32k.sys!EngAlphaBlend + 9286 BF8C3127 5 Bytes JMP BAE867A0
.text win32k.sys!EngCreateClip + 1994 BF912854 5 Bytes JMP BAE86AC0
.text win32k.sys!EngCreateClip + 1F24 BF912DE4 5 Bytes JMP BAE86B60
.text win32k.sys!EngCreateClip + 256A BF91342A 5 Bytes JMP BAE86840
? system32\drivers\xpsec.sys Das System kann den angegebenen Pfad nicht finden. !
? system32\drivers\xcpip.sys Das System kann den angegebenen Pfad nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[268] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 03B19F7E
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[268] WS2_32.dll!send 71A14C27 5 Bytes JMP 03B19B1B
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[268] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 03B19E30
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[268] WS2_32.dll!recv 71A1676F 5 Bytes JMP 03B19BFC
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[268] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 03B19CCF
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[424] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 07D49F7E
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[424] WS2_32.dll!send 71A14C27 5 Bytes JMP 07D49B1B
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[424] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 07D49E30
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[424] WS2_32.dll!recv 71A1676F 5 Bytes JMP 07D49BFC
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[424] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 07D49CCF
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[476] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 07B69F7E
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[476] WS2_32.dll!send 71A14C27 5 Bytes JMP 07B69B1B
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[476] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 07B69E30
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[476] WS2_32.dll!recv 71A1676F 5 Bytes JMP 07B69BFC
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[476] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 07B69CCF
.text C:\Programme\Sandboxie\SbieCtrl.exe[656] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01A49F7E
.text C:\Programme\Sandboxie\SbieCtrl.exe[656] WS2_32.dll!send 71A14C27 5 Bytes JMP 01A49B1B
.text C:\Programme\Sandboxie\SbieCtrl.exe[656] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01A49E30
.text C:\Programme\Sandboxie\SbieCtrl.exe[656] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01A49BFC
.text C:\Programme\Sandboxie\SbieCtrl.exe[656] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01A49CCF
.text C:\Programme\Java\jre6\bin\jqs.exe[752] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02BB9F7E
.text C:\Programme\Java\jre6\bin\jqs.exe[752] WS2_32.dll!send 71A14C27 5 Bytes JMP 02BB9B1B
.text C:\Programme\Java\jre6\bin\jqs.exe[752] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02BB9E30
.text C:\Programme\Java\jre6\bin\jqs.exe[752] WS2_32.dll!recv 71A1676F 5 Bytes JMP 02BB9BFC
.text C:\Programme\Java\jre6\bin\jqs.exe[752] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 02BB9CCF
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[828] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 08179F7E
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[828] WS2_32.dll!send 71A14C27 5 Bytes JMP 08179B1B
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[828] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 08179E30
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[828] WS2_32.dll!recv 71A1676F 5 Bytes JMP 08179BFC
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[828] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 08179CCF
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1100] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 021B9F7E
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1100] WS2_32.dll!send 71A14C27 5 Bytes JMP 021B9B1B
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1100] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 021B9E30
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1100] WS2_32.dll!recv 71A1676F 5 Bytes JMP 021B9BFC
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1100] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 021B9CCF
.text C:\WINDOWS\system32\LEXPPS.EXE[1104] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02249F7E
.text C:\WINDOWS\system32\LEXPPS.EXE[1104] WS2_32.dll!send 71A14C27 5 Bytes JMP 02249B1B
.text C:\WINDOWS\system32\LEXPPS.EXE[1104] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02249E30
.text C:\WINDOWS\system32\LEXPPS.EXE[1104] WS2_32.dll!recv 71A1676F 5 Bytes JMP 02249BFC
.text C:\WINDOWS\system32\LEXPPS.EXE[1104] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 02249CCF
.text C:\WINDOWS\system32\winlogon.exe[1304] Secur32.dll!LsaLogonUser 77FC33D8 5 Bytes JMP 019F2C81
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[1460] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01729F7E
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[1460] WS2_32.dll!send 71A14C27 5 Bytes JMP 01729B1B
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[1460] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01729E30
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[1460] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01729BFC
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[1460] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01729CCF
.text C:\WINDOWS\system32\wbem\unsecapp.exe[1740] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01519F7E
.text C:\WINDOWS\system32\wbem\unsecapp.exe[1740] WS2_32.dll!send 71A14C27 5 Bytes JMP 01519B1B
.text C:\WINDOWS\system32\wbem\unsecapp.exe[1740] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01519E30
.text C:\WINDOWS\system32\wbem\unsecapp.exe[1740] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01519BFC
.text C:\WINDOWS\system32\wbem\unsecapp.exe[1740] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01519CCF
.text C:\Programme\Sandboxie\SbieSvc.exe[1884] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 009D9F7E
.text C:\Programme\Sandboxie\SbieSvc.exe[1884] WS2_32.dll!send 71A14C27 5 Bytes JMP 009D9B1B
.text C:\Programme\Sandboxie\SbieSvc.exe[1884] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 009D9E30
.text C:\Programme\Sandboxie\SbieSvc.exe[1884] WS2_32.dll!recv 71A1676F 5 Bytes JMP 009D9BFC
.text C:\Programme\Sandboxie\SbieSvc.exe[1884] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 009D9CCF
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1964] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 06D49F7E
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1964] WS2_32.dll!send 71A14C27 5 Bytes JMP 06D49B1B
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1964] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 06D49E30
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1964] WS2_32.dll!recv 71A1676F 5 Bytes JMP 06D49BFC
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1964] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 06D49CCF
.text C:\WINDOWS\system32\wbem\unsecapp.exe[2180] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 017B9F7E
.text C:\WINDOWS\system32\wbem\unsecapp.exe[2180] WS2_32.dll!send 71A14C27 5 Bytes JMP 017B9B1B
.text C:\WINDOWS\system32\wbem\unsecapp.exe[2180] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 017B9E30
.text C:\WINDOWS\system32\wbem\unsecapp.exe[2180] WS2_32.dll!recv 71A1676F 5 Bytes JMP 017B9BFC
.text C:\WINDOWS\system32\wbem\unsecapp.exe[2180] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 017B9CCF
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[2848] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 066A9F7E
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[2848] ws2_32.dll!send 71A14C27 5 Bytes JMP 066A9B1B
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[2848] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 066A9E30
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[2848] ws2_32.dll!recv 71A1676F 5 Bytes JMP 066A9BFC
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[2848] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 066A9CCF
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[3100] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01569F7E
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[3100] WS2_32.dll!send 71A14C27 5 Bytes JMP 01569B1B
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[3100] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01569E30
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[3100] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01569BFC
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[3100] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01569CCF
.text C:\WINDOWS\system32\Ati2evxx.exe[3492] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 016A9F7E
.text C:\WINDOWS\system32\Ati2evxx.exe[3492] WS2_32.dll!send 71A14C27 5 Bytes JMP 016A9B1B
.text C:\WINDOWS\system32\Ati2evxx.exe[3492] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 016A9E30
.text C:\WINDOWS\system32\Ati2evxx.exe[3492] WS2_32.dll!recv 71A1676F 5 Bytes JMP 016A9BFC
.text C:\WINDOWS\system32\Ati2evxx.exe[3492] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 016A9CCF
.text C:\WINDOWS\Explorer.EXE[3572] USER32.dll!DisplayExitWindowsWarnings 7E3A9F91 5 Bytes JMP 01E32A93
.text C:\WINDOWS\Explorer.EXE[3572] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01C09F7E
.text C:\WINDOWS\Explorer.EXE[3572] WS2_32.dll!send 71A14C27 5 Bytes JMP 01C09B1B
.text C:\WINDOWS\Explorer.EXE[3572] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01C09E30
.text C:\WINDOWS\Explorer.EXE[3572] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01C09BFC
.text C:\WINDOWS\Explorer.EXE[3572] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01C09CCF
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3784] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01D39F7E
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3784] WS2_32.dll!send 71A14C27 5 Bytes JMP 01D39B1B
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3784] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01D39E30
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3784] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01D39BFC
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[3784] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01D39CCF
.text C:\Programme\Dell\QuickSet\quickset.exe[3792] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02719F7E
.text C:\Programme\Dell\QuickSet\quickset.exe[3792] WS2_32.dll!send 71A14C27 5 Bytes JMP 02719B1B
.text C:\Programme\Dell\QuickSet\quickset.exe[3792] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02719E30
.text C:\Programme\Dell\QuickSet\quickset.exe[3792] WS2_32.dll!recv 71A1676F 5 Bytes JMP 02719BFC
.text C:\Programme\Dell\QuickSet\quickset.exe[3792] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 02719CCF
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[3800] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01C59F7E
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[3800] WS2_32.dll!send 71A14C27 5 Bytes JMP 01C59B1B
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[3800] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01C59E30
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[3800] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01C59BFC
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[3800] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01C59CCF
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[3824] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02649F7E
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[3824] WS2_32.dll!send 71A14C27 5 Bytes JMP 02649B1B
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[3824] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02649E30
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[3824] WS2_32.dll!recv 71A1676F 5 Bytes JMP 02649BFC
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[3824] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 02649CCF
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[3832] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 077F9F7E
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[3832] WS2_32.dll!send 71A14C27 5 Bytes JMP 077F9B1B
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[3832] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 077F9E30
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[3832] WS2_32.dll!recv 71A1676F 5 Bytes JMP 077F9BFC
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[3832] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 077F9CCF
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[3844] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00EA9F7E
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[3844] WS2_32.dll!send 71A14C27 5 Bytes JMP 00EA9B1B
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[3844] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00EA9E30
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[3844] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00EA9BFC
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[3844] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00EA9CCF
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[3912] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 05599F7E
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[3912] ws2_32.dll!send 71A14C27 5 Bytes JMP 05599B1B
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[3912] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 05599E30
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[3912] ws2_32.dll!recv 71A1676F 5 Bytes JMP 05599BFC
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[3912] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 05599CCF
.text C:\Programme\RocketDock\RocketDock.exe[3952] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02209F7E
.text C:\Programme\RocketDock\RocketDock.exe[3952] WS2_32.dll!send 71A14C27 5 Bytes JMP 02209B1B
.text C:\Programme\RocketDock\RocketDock.exe[3952] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02209E30
.text C:\Programme\RocketDock\RocketDock.exe[3952] WS2_32.dll!recv 71A1676F 5 Bytes JMP 02209BFC
.text C:\Programme\RocketDock\RocketDock.exe[3952] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 02209CCF
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[4332] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01619F7E
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[4332] WS2_32.dll!send 71A14C27 5 Bytes JMP 01619B1B
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[4332] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01619E30
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[4332] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01619BFC
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[4332] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01619CCF
.text C:\WINDOWS\System32\alg.exe[5456] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01469F7E
.text C:\WINDOWS\System32\alg.exe[5456] WS2_32.dll!send 71A14C27 5 Bytes JMP 01469B1B
.text C:\WINDOWS\System32\alg.exe[5456] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01469E30
.text C:\WINDOWS\System32\alg.exe[5456] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01469BFC
.text C:\WINDOWS\System32\alg.exe[5456] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01469CCF
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x57 0x6D 0x9B 0xBD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD0 0x05 0x53 0xA3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x76 0xFF 0x87 0xE9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x57 0x6D 0x9B 0xBD ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD0 0x05 0x53 0xA3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x76 0xFF 0x87 0xE9 ...
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior
Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 625121283
Disk \Device\Harddisk0\DR0 PE file @ sector 625121305
Disk \Device\Harddisk0\DR0 MBRoot/Sinowal@MBR code has been found <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
|
|
01.08.2011, 19:31
| #4 |
| | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Malwarebytes Log: Von gestern: Malwarebytes' Anti-Malware 1.51.1.1800 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 7318 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 29.07.2011 15:36:24 mbam-log-2011-07-29 (15-36-24).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 175940 Laufzeit: 2 Minute(n), 37 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Zwunzi (Adware.Zwunzi) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully. Infizierte Dateien: c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully. c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully. und heute: Malwarebytes' Anti-Malware 1.51.1.1800 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 7344 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 01.08.2011 17:06:28 mbam-log-2011-08-01 (17-06-28).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 249528 Laufzeit: 28 Minute(n), 0 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
02.08.2011, 11:05
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Führe auch bitte ESET aus, danach sehen wir weiter. ESET Online Scanner
n.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
02.08.2011, 14:09
| #6 |
| | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Erstmal danke für die schnelle antwort! Hier ist die ESET Log: ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=b726e7ced397c84fb19a40f770861db9 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-08-02 12:13:02 # local_time=2011-08-02 02:13:02 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1797 16775141 100 100 346448 87176962 78958 0 # compatibility_mode=8192 67108863 100 0 306 306 0 0 # scanned=107019 # found=1 # cleaned=0 # scan_time=6784 C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\38104072-7e60ad0c probably a variant of Java/TrojanDownloader.Agent.AB trojan (unable to clean) 00000000000000000000000000000000 I |
|
02.08.2011, 14:22
| #7 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system?Zitat:
Was soll das werden?? Führst Combofix ohne Anweisung aus und dann postest du nichtmal das Log!!   Einen ganz klaren Hinweis gibt es zu http://www.trojaner-board.de/95175-combofix.html Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.08.2011, 14:36
| #8 | |
| | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system?Zitat:
Ich hatte keine Ahnung, dass das so gefährlich sein kann, vor allem da CF ja ein Recovery Punkt eingerichtet hat! Sorry, falls ich da zu voreilig war und dir die Sacher erschwere! Aber hier das Log: Combofix Logfile: Code:
ATTFilter ComboFix 11-07-31.04 - Äleks_2 01.08.2011 14:50:01.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1226 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Äleks_2\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\1028_DELL_XPS_MP061 .MRK
c:\windows\system32\drivers\DELL_XPS_MP061 .MRK
c:\windows\system32\kock
c:\windows\system32\xmldm
c:\windows\unin0407.exe
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_ZWUNZI_SERVICE
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-07-01 bis 2011-08-01 ))))))))))))))))))))))))))))))
.
.
2011-07-31 12:21 . 2011-07-31 12:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nex Technologies
2011-07-31 12:21 . 2011-07-31 12:21 -------- d-----w- c:\programme\NeuroExplorer
2011-07-31 10:14 . 2011-07-31 10:15 -------- d-----w- c:\dokumente und einstellungen\Äleks
2011-07-29 13:31 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-29 13:31 . 2011-07-29 13:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-29 13:31 . 2011-07-29 13:31 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-07-29 13:31 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-29 10:13 . 2011-07-29 10:13 -------- d-----r- C:\Sandbox
2011-07-29 09:55 . 2011-07-29 09:55 -------- d-----w- c:\programme\Sandboxie
2011-07-29 09:53 . 2011-07-29 09:53 -------- d-----w- c:\programme\CCleaner
2011-07-29 09:33 . 2011-07-29 09:43 -------- d-----w- c:\programme\CHIP System-Check-Tool
2011-07-29 09:33 . 2006-09-29 20:21 77824 ----a-w- c:\windows\system32\DriveInfo.dll
2011-07-29 09:33 . 2006-02-03 15:46 32768 ----a-w- c:\windows\system32\chipxum.dll
2011-07-28 23:43 . 2010-07-12 18:36 133616 ------w- c:\windows\system32\pxafs.dll
2011-07-28 23:40 . 2011-07-28 23:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2011-07-27 23:11 . 2011-07-27 23:11 -------- d-----w- c:\windows\system32\5021
2011-07-27 11:27 . 2011-07-27 11:27 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2011-07-10 15:36 . 2011-07-10 15:36 -------- d-----w- c:\programme\CPUID
2011-07-10 15:36 . 2010-11-09 13:35 21992 ----a-w- c:\windows\system32\drivers\cpuz135_x32.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-29 15:23 . 2011-05-17 15:58 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-03 20:19 . 2009-10-20 10:29 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-03 20:19 . 2009-10-20 10:29 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-06-02 17:53 . 2011-06-02 17:53 94208 ----a-w- c:\windows\system32\dpl100.dll
2011-07-08 07:31 . 2011-07-29 15:04 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"i8kfangui"="c:\programme\I8kfanGUI\I8kfanGUI.exe" [2007-02-16 856064]
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe" [2011-03-24 409320]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2007-05-14 1191936]
"SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"Lexmark 3100 Series"="c:\programme\Lexmark 3100 Series\lxbrbmgr.exe" [2003-09-03 106496]
"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2010-01-19 1392640]
"IntelWireless"="c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" [2010-01-19 1206544]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Žleks_2\Startmen\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Žleks_2\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2011-5-25 24176560]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 18:56 1230704 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GMX_GMX MultiMessenger]
2009-04-17 19:52 5031336 ----a-w- c:\programme\GMX MultiMessenger\MESSENGR.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-03-01 20:45 421160 ----a-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Zwunzi Service"=2 (0x2)
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Äleks_2\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8080:TCP"= 8080:TCP:*:Disabled:finchsync
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03.06.2010 17:23 691696]
R1 fanio;FanIO driver;c:\windows\system32\drivers\fanio.sys [01.11.2009 19:46 14464]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.10.2009 12:29 136360]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [10.07.2011 17:36 21992]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [29.07.2011 15:31 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [29.07.2011 15:31 22712]
R3 stdriver;Sound Tap Upper Class Filter Driver v2.0.0.0;c:\windows\system32\drivers\stdriver32.sys [31.05.2010 18:29 39480]
R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.05.2011 20:05 136176]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [11.12.2010 19:49 113280]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.05.2011 20:05 136176]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [11.12.2010 19:49 100736]
.
Inhalt des "geplante Tasks" Ordners
.
2010-06-01 c:\windows\Tasks\debutShakeIcon.job
- c:\programme\NCH Software\Debut\debut.exe [2010-05-31 16:24]
.
2011-08-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-05-06 18:05]
.
2011-08-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-05-06 18:05]
.
2010-06-10 c:\windows\Tasks\switchShakeIcon.job
- c:\programme\NCH Swift Sound\Switch\switch.exe [2010-06-03 21:21]
.
2010-05-31 c:\windows\Tasks\videopadSevenDays.job
- c:\programme\NCH Software\VideoPad\videopad.exe [2010-05-31 16:25]
.
2010-05-31 c:\windows\Tasks\videopadShakeIcon.job
- c:\programme\NCH Software\VideoPad\videopad.exe [2010-05-31 16:25]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Mozilla\Firefox\Profiles\e1tvxtj3.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Nokia Ovi Suite - c:\dokumente und einstellungen\All Users\Anwendungsdaten\NokiaInstallerCache\ProductCache\{D5878294-C113-43c5-A24F-FC333C52015A}\Installer.exe
AddRemove-Nokia PC Suite - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Nokia_PC_Suite_ger.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-01 14:58
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1324)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\netprovcredman.dll
.
- - - - - - - > 'lsass.exe'(1380)
c:\windows\system32\WLDAP32.dll
c:\windows\system32\mswsock.dll
.
- - - - - - - > 'explorer.exe'(4396)
c:\programme\RocketDock\RocketDock.dll
c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\netprovcredman.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\programme\Intel\WiFi\bin\WLKeeper.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
c:\programme\Lexmark 3100 Series\lxbrbmon.exe
d:\downlo~1\WPC_BU~1\WALLPA~1.EXE
c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\Dropbox.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-08-01 15:00:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-08-01 13:00
.
Vor Suchlauf: 6.197.170.176 Bytes frei
Nach Suchlauf: 6.542.942.208 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[Boot Loader]
timeout=2
Default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[Operating Systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="USB Repair NOT to Start Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - CCF0CA43097E6BE721167CA7E62AD1B8
|
|
02.08.2011, 15:05
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8080:TCP"=-
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
File::
c:\windows\system32\drivers\xcpip.sys
c:\windows\system32\drivers\xpsec.sys
Driver::
xcpip
xpsec
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! Anschließend brauch ich den Quarantäneordner von Combofix. Bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen! 2.) Ordner Quarantine in C:\Qoobox in eine Datei zippen 3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.08.2011, 23:40
| #10 |
| | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? okay, hab alles gemacht. CF gescriptet ausgeführt und den quarantäne ordner hochgeladen. Hier das Log von CF: Combofix Logfile: Code:
ATTFilter ComboFix 11-08-02.02 - Äleks_2 02.08.2011 18:50:27.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1190 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Äleks_2\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Äleks_2\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE ::
"c:\windows\system32\drivers\xcpip.sys"
"c:\windows\system32\drivers\xpsec.sys"
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_xcpip
-------\Service_xpsec
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-07-02 bis 2011-08-02 ))))))))))))))))))))))))))))))
.
.
2011-08-02 10:14 . 2011-08-02 10:14 -------- d-----w- c:\programme\ESET
2011-07-31 12:21 . 2011-07-31 12:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nex Technologies
2011-07-31 12:21 . 2011-07-31 12:21 -------- d-----w- c:\programme\NeuroExplorer
2011-07-31 10:14 . 2011-07-31 10:15 -------- d-----w- c:\dokumente und einstellungen\Äleks
2011-07-29 13:31 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-29 13:31 . 2011-07-29 13:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-29 13:31 . 2011-07-29 13:31 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-07-29 13:31 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-29 10:13 . 2011-07-29 10:13 -------- d-----r- C:\Sandbox
2011-07-29 09:55 . 2011-07-29 09:55 -------- d-----w- c:\programme\Sandboxie
2011-07-29 09:53 . 2011-07-29 09:53 -------- d-----w- c:\programme\CCleaner
2011-07-29 09:33 . 2011-07-29 09:43 -------- d-----w- c:\programme\CHIP System-Check-Tool
2011-07-29 09:33 . 2006-09-29 20:21 77824 ----a-w- c:\windows\system32\DriveInfo.dll
2011-07-29 09:33 . 2006-02-03 15:46 32768 ----a-w- c:\windows\system32\chipxum.dll
2011-07-28 23:43 . 2010-07-12 18:36 133616 ------w- c:\windows\system32\pxafs.dll
2011-07-28 23:40 . 2011-07-28 23:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2011-07-27 11:27 . 2011-07-27 11:27 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2011-07-10 15:36 . 2011-07-10 15:36 -------- d-----w- c:\programme\CPUID
2011-07-10 15:36 . 2010-11-09 13:35 21992 ----a-w- c:\windows\system32\drivers\cpuz135_x32.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-29 15:23 . 2011-05-17 15:58 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-03 20:19 . 2009-10-20 10:29 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-03 20:19 . 2009-10-20 10:29 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-06-02 17:53 . 2011-06-02 17:53 94208 ----a-w- c:\windows\system32\dpl100.dll
2011-07-08 07:31 . 2011-07-29 15:04 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-08-01_12.56.37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-08-02 17:00 . 2011-08-02 17:00 16384 c:\windows\Temp\Perflib_Perfdata_638.dat
+ 2011-08-02 21:44 . 2011-08-02 21:44 16384 c:\windows\Temp\Perflib_Perfdata_1434.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"i8kfangui"="c:\programme\I8kfanGUI\I8kfanGUI.exe" [2007-02-16 856064]
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe" [2011-03-24 409320]
"GMX_GMX MultiMessenger"="c:\programme\GMX MultiMessenger\MESSENGR.EXE" [2009-04-17 5031336]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2007-05-14 1191936]
"SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"Lexmark 3100 Series"="c:\programme\Lexmark 3100 Series\lxbrbmgr.exe" [2003-09-03 106496]
"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2010-01-19 1392640]
"IntelWireless"="c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" [2010-01-19 1206544]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Žleks_2\Startmen\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Žleks_2\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2011-5-25 24176560]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 18:56 1230704 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GMX_GMX MultiMessenger]
2009-04-17 19:52 5031336 ----a-w- c:\programme\GMX MultiMessenger\MESSENGR.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-03-01 20:45 421160 ----a-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Zwunzi Service"=2 (0x2)
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Dokumente und Einstellungen\\Äleks_2\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R1 fanio;FanIO driver;c:\windows\system32\drivers\fanio.sys [01.11.2009 19:46 14464]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.10.2009 12:29 136360]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [10.07.2011 17:36 21992]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [29.07.2011 15:31 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [29.07.2011 15:31 22712]
R3 stdriver;Sound Tap Upper Class Filter Driver v2.0.0.0;c:\windows\system32\drivers\stdriver32.sys [31.05.2010 18:29 39480]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.05.2011 20:05 136176]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [11.12.2010 19:49 113280]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.05.2011 20:05 136176]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [11.12.2010 19:49 100736]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03.06.2010 17:23 691696]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - xcpip
*Deregistered* - xpsec
.
Inhalt des "geplante Tasks" Ordners
.
2010-06-01 c:\windows\Tasks\debutShakeIcon.job
- c:\programme\NCH Software\Debut\debut.exe [2010-05-31 16:24]
.
2011-08-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-05-06 18:05]
.
2011-08-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-05-06 18:05]
.
2010-06-10 c:\windows\Tasks\switchShakeIcon.job
- c:\programme\NCH Swift Sound\Switch\switch.exe [2010-06-03 21:21]
.
2010-05-31 c:\windows\Tasks\videopadSevenDays.job
- c:\programme\NCH Software\VideoPad\videopad.exe [2010-05-31 16:25]
.
2010-05-31 c:\windows\Tasks\videopadShakeIcon.job
- c:\programme\NCH Software\VideoPad\videopad.exe [2010-05-31 16:25]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Mozilla\Firefox\Profiles\e1tvxtj3.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-02 23:43
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1308)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\netprovcredman.dll
.
- - - - - - - > 'lsass.exe'(1364)
c:\windows\system32\WLDAP32.dll
c:\windows\system32\mswsock.dll
.
- - - - - - - > 'explorer.exe'(5576)
c:\programme\RocketDock\RocketDock.dll
c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\windows\system32\netprovcredman.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\programme\Intel\WiFi\bin\WLKeeper.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\windows\system32\wbem\unsecapp.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\programme\Lexmark 3100 Series\lxbrbmon.exe
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
c:\windows\system32\wbem\unsecapp.exe
d:\downlo~1\WPC_BU~1\WALLPA~1.EXE
c:\dokumente und einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\Dropbox.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-08-02 23:47:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-08-02 21:47
ComboFix2.txt 2011-08-01 14:16
ComboFix3.txt 2011-08-01 13:35
ComboFix4.txt 2011-08-01 13:00
.
Vor Suchlauf: 5.716.004.864 Bytes frei
Nach Suchlauf: 6.266.687.488 Bytes frei
.
- - End Of File - - 60E531B83B31BA23DB8D44C058FEF95B
|
|
03.08.2011, 09:15
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.08.2011, 15:50
| #12 |
| |  stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-03 16:37:08
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM320II rev.2AC101C4
Running: gkqpmon0.exe; Driver: C:\DOKUME~1\LEKS_2~1\LOKALE~1\Temp\kglcauod.sys
---- System - GMER 1.0.15 ----
SSDT BAFD6B34 ZwClose
SSDT BAFD6AEE ZwCreateKey
SSDT BAFD6B3E ZwCreateSection
SSDT BAFD6AE4 ZwCreateThread
SSDT BAFD6AF3 ZwDeleteKey
SSDT BAFD6AFD ZwDeleteValueKey
SSDT BAFD6B2F ZwDuplicateObject
SSDT BAFD6B02 ZwLoadKey
SSDT BAFD6AD0 ZwOpenProcess
SSDT BAFD6AD5 ZwOpenThread
SSDT BAFD6B0C ZwReplaceKey
SSDT BAFD6B07 ZwRestoreKey
SSDT BAFD6B43 ZwSetContextThread
SSDT BAFD6AF8 ZwSetValueKey
SSDT BAFD6ADF ZwTerminateProcess
Code BAEDEC9C ZwRequestPort
Code BAEDED3C ZwRequestWaitReplyPort
Code BAEDEBFC ZwTraceEvent
Code BAEDEC9B NtRequestPort
Code BAEDED3B NtRequestWaitReplyPort
Code BAEDEBFB NtTraceEvent
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!NtTraceEvent 80535108 5 Bytes JMP BAEDEC00
PAGE ntkrnlpa.exe!NtRequestPort 805A2A5A 5 Bytes JMP BAEDECA0
PAGE ntkrnlpa.exe!NtRequestWaitReplyPort 805A2D86 5 Bytes JMP BAEDED40
? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
.text win32k.sys!EngAcquireSemaphore + 2645 BF808959 5 Bytes JMP BAEDE480
.text win32k.sys!EngFreeUserMem + 5502 BF80EE10 5 Bytes JMP BAEDE3E0
.text win32k.sys!BRUSHOBJ_pvAllocRbrush + 320C BF81E6E6 5 Bytes JMP BAEDEA20
.text win32k.sys!EngSetLastError + 7659 BF828630 1 Byte [E9]
.text win32k.sys!EngSetLastError + 7659 BF828630 5 Bytes JMP BAEDE5C0
.text win32k.sys!EngLockSurface + 148C BF834F4F 5 Bytes JMP BAEDE700
.text win32k.sys!EngCreateBitmap + D95F BF8457CB 5 Bytes JMP BAEDE660
.text win32k.sys!EngGradientFill + 5128 BF8B3C72 5 Bytes JMP BAEDE520
.text win32k.sys!EngAlphaBlend + 9286 BF8C3127 5 Bytes JMP BAEDE7A0
.text win32k.sys!EngCreateClip + 1994 BF912854 5 Bytes JMP BAEDEAC0
.text win32k.sys!EngCreateClip + 1F24 BF912DE4 5 Bytes JMP BAEDEB60
.text win32k.sys!EngCreateClip + 256A BF91342A 5 Bytes JMP BAEDE840
? system32\drivers\xpsec.sys Das System kann den angegebenen Pfad nicht finden. !
? system32\drivers\xcpip.sys Das System kann den angegebenen Pfad nicht finden. !
? C:\Combo-Fix\catchme.sys Das System kann den angegebenen Pfad nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !
? System32\Drivers\hiber_WMILIB.SYS Das System kann den angegebenen Pfad nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\wbem\unsecapp.exe[168] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01859F7E
.text C:\WINDOWS\system32\wbem\unsecapp.exe[168] WS2_32.dll!send 71A14C27 5 Bytes JMP 01859B1B
.text C:\WINDOWS\system32\wbem\unsecapp.exe[168] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01859E30
.text C:\WINDOWS\system32\wbem\unsecapp.exe[168] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01859BFC
.text C:\WINDOWS\system32\wbem\unsecapp.exe[168] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01859CCF
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[204] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 046B9F7E
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[204] ws2_32.dll!send 71A14C27 5 Bytes JMP 046B9B1B
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[204] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 046B9E30
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[204] ws2_32.dll!recv 71A1676F 5 Bytes JMP 046B9BFC
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[204] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 046B9CCF
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[232] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 0BC79F7E
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[232] WS2_32.dll!send 71A14C27 5 Bytes JMP 0BC79B1B
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[232] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 0BC79E30
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[232] WS2_32.dll!recv 71A1676F 5 Bytes JMP 0BC79BFC
.text C:\Programme\Intel\WiFi\bin\EvtEng.exe[232] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 0BC79CCF
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[316] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 07D49F7E
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[316] WS2_32.dll!send 71A14C27 5 Bytes JMP 07D49B1B
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[316] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 07D49E30
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[316] WS2_32.dll!recv 71A1676F 5 Bytes JMP 07D49BFC
.text C:\Programme\Intel\WiFi\bin\S24EvMon.exe[316] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 07D49CCF
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[380] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 07B49F7E
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[380] WS2_32.dll!send 71A14C27 5 Bytes JMP 07B49B1B
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[380] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 07B49E30
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[380] WS2_32.dll!recv 71A1676F 5 Bytes JMP 07B49BFC
.text C:\Programme\Intel\WiFi\bin\WLKeeper.exe[380] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 07B49CCF
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[816] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01A29F7E
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[816] WS2_32.dll!send 71A14C27 5 Bytes JMP 01A29B1B
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[816] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01A29E30
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[816] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01A29BFC
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[816] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01A29CCF
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[832] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00EF9F7E
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[832] WS2_32.dll!send 71A14C27 5 Bytes JMP 00EF9B1B
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[832] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00EF9E30
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[832] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00EF9BFC
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[832] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00EF9CCF
.text C:\WINDOWS\system32\LEXPPS.EXE[992] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02249F7E
.text C:\WINDOWS\system32\LEXPPS.EXE[992] WS2_32.dll!send 71A14C27 5 Bytes JMP 02249B1B
.text C:\WINDOWS\system32\LEXPPS.EXE[992] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02249E30
.text C:\WINDOWS\system32\LEXPPS.EXE[992] WS2_32.dll!recv 71A1676F 5 Bytes JMP 02249BFC
.text C:\WINDOWS\system32\LEXPPS.EXE[992] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 02249CCF
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1064] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 021A9F7E
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1064] WS2_32.dll!send 71A14C27 5 Bytes JMP 021A9B1B
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1064] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 021A9E30
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1064] WS2_32.dll!recv 71A1676F 5 Bytes JMP 021A9BFC
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1064] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 021A9CCF
.text C:\WINDOWS\system32\winlogon.exe[1308] Secur32.dll!LsaLogonUser 77FC33D8 5 Bytes JMP 01B22C81
.text C:\Programme\Java\jre6\bin\jqs.exe[1592] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02B69F7E
.text C:\Programme\Java\jre6\bin\jqs.exe[1592] WS2_32.dll!send 71A14C27 5 Bytes JMP 02B69B1B
.text C:\Programme\Java\jre6\bin\jqs.exe[1592] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02B69E30
.text C:\Programme\Java\jre6\bin\jqs.exe[1592] WS2_32.dll!recv 71A1676F 5 Bytes JMP 02B69BFC
.text C:\Programme\Java\jre6\bin\jqs.exe[1592] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 02B69CCF
.text C:\Programme\Sandboxie\SbieSvc.exe[1700] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 009D9F7E
.text C:\Programme\Sandboxie\SbieSvc.exe[1700] WS2_32.dll!send 71A14C27 5 Bytes JMP 009D9B1B
.text C:\Programme\Sandboxie\SbieSvc.exe[1700] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 009D9E30
.text C:\Programme\Sandboxie\SbieSvc.exe[1700] WS2_32.dll!recv 71A1676F 5 Bytes JMP 009D9BFC
.text C:\Programme\Sandboxie\SbieSvc.exe[1700] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 009D9CCF
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1840] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 06D49F7E
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1840] WS2_32.dll!send 71A14C27 5 Bytes JMP 06D49B1B
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1840] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 06D49E30
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1840] WS2_32.dll!recv 71A1676F 5 Bytes JMP 06D49BFC
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[1840] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 06D49CCF
.text C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe[2092] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 04129F7E
.text C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe[2092] WS2_32.dll!send 71A14C27 5 Bytes JMP 04129B1B
.text C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe[2092] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 04129E30
.text C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe[2092] WS2_32.dll!recv 71A1676F 5 Bytes JMP 04129BFC
.text C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe[2092] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 04129CCF
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[2184] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01729F7E
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[2184] WS2_32.dll!send 71A14C27 5 Bytes JMP 01729B1B
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[2184] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01729E30
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[2184] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01729BFC
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe[2184] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01729CCF
.text C:\Programme\Dell\QuickSet\quickset.exe[3428] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 075E9F7E
.text C:\Programme\Dell\QuickSet\quickset.exe[3428] WS2_32.dll!send 71A14C27 5 Bytes JMP 075E9B1B
.text C:\Programme\Dell\QuickSet\quickset.exe[3428] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 075E9E30
.text C:\Programme\Dell\QuickSet\quickset.exe[3428] WS2_32.dll!recv 71A1676F 5 Bytes JMP 075E9BFC
.text C:\Programme\Dell\QuickSet\quickset.exe[3428] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 075E9CCF
.text C:\Programme\iPod\bin\iPodService.exe[3484] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00BE9F7E
.text C:\Programme\iPod\bin\iPodService.exe[3484] WS2_32.dll!send 71A14C27 5 Bytes JMP 00BE9B1B
.text C:\Programme\iPod\bin\iPodService.exe[3484] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00BE9E30
.text C:\Programme\iPod\bin\iPodService.exe[3484] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00BE9BFC
.text C:\Programme\iPod\bin\iPodService.exe[3484] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00BE9CCF
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3928] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01619F7E
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3928] WS2_32.dll!send 71A14C27 5 Bytes JMP 01619B1B
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3928] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01619E30
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3928] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01619BFC
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3928] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01619CCF
.text C:\WINDOWS\System32\alg.exe[3968] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01469F7E
.text C:\WINDOWS\System32\alg.exe[3968] WS2_32.dll!send 71A14C27 5 Bytes JMP 01469B1B
.text C:\WINDOWS\System32\alg.exe[3968] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01469E30
.text C:\WINDOWS\System32\alg.exe[3968] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01469BFC
.text C:\WINDOWS\System32\alg.exe[3968] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01469CCF
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[4120] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01B59F7E
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[4120] WS2_32.dll!send 71A14C27 5 Bytes JMP 01B59B1B
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[4120] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01B59E30
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[4120] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01B59BFC
.text C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe[4120] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01B59CCF
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[4396] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01B39F7E
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[4396] WS2_32.dll!send 71A14C27 5 Bytes JMP 01B39B1B
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[4396] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01B39E30
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[4396] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01B39BFC
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[4396] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01B39CCF
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[4440] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 074F9F7E
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[4440] WS2_32.dll!send 71A14C27 5 Bytes JMP 074F9B1B
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[4440] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 074F9E30
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[4440] WS2_32.dll!recv 71A1676F 5 Bytes JMP 074F9BFC
.text C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe[4440] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 074F9CCF
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[4628] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 040E9F7E
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[4628] ws2_32.dll!send 71A14C27 5 Bytes JMP 040E9B1B
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[4628] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 040E9E30
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[4628] ws2_32.dll!recv 71A1676F 5 Bytes JMP 040E9BFC
.text C:\Programme\ATI Technologies\ATI.ACE\cli.exe[4628] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 040E9CCF
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[5072] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 07809F7E
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[5072] WS2_32.dll!send 71A14C27 5 Bytes JMP 07809B1B
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[5072] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 07809E30
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[5072] WS2_32.dll!recv 71A1676F 5 Bytes JMP 07809BFC
.text C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe[5072] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 07809CCF
.text C:\WINDOWS\system32\Ati2evxx.exe[5364] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01689F7E
.text C:\WINDOWS\system32\Ati2evxx.exe[5364] WS2_32.dll!send 71A14C27 5 Bytes JMP 01689B1B
.text C:\WINDOWS\system32\Ati2evxx.exe[5364] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01689E30
.text C:\WINDOWS\system32\Ati2evxx.exe[5364] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01689BFC
.text C:\WINDOWS\system32\Ati2evxx.exe[5364] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01689CCF
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5480] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 017B9F7E
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5480] WS2_32.dll!send 71A14C27 5 Bytes JMP 017B9B1B
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5480] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 017B9E30
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5480] WS2_32.dll!recv 71A1676F 5 Bytes JMP 017B9BFC
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5480] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 017B9CCF
.text C:\WINDOWS\explorer.exe[5576] USER32.dll!DisplayExitWindowsWarnings 7E3A9F91 5 Bytes JMP 01EC2A93
.text C:\WINDOWS\explorer.exe[5576] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01D79F7E
.text C:\WINDOWS\explorer.exe[5576] WS2_32.dll!send 71A14C27 5 Bytes JMP 01D79B1B
.text C:\WINDOWS\explorer.exe[5576] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01D79E30
.text C:\WINDOWS\explorer.exe[5576] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01D79BFC
.text C:\WINDOWS\explorer.exe[5576] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01D79CCF
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[5732] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01DF9F7E
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[5732] WS2_32.dll!send 71A14C27 5 Bytes JMP 01DF9B1B
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[5732] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01DF9E30
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[5732] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01DF9BFC
.text C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe[5732] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01DF9CCF
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[832] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [01482BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[832] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter] [01482CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[832] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess] [01482CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x57 0x6D 0x9B 0xBD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD0 0x05 0x53 0xA3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x76 0xFF 0x87 0xE9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x57 0x6D 0x9B 0xBD ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD0 0x05 0x53 0xA3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x76 0xFF 0x87 0xE9 ...
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior
Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 625121283
Disk \Device\Harddisk0\DR0 PE file @ sector 625121305
Disk \Device\Harddisk0\DR0 MBRoot/Sinowal@MBR code has been found <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
|
|
03.08.2011, 17:01
| #13 |
| |  stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 17:04:03 on 03.08.2011 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "debutShakeIcon.job" - "NCH Software" - C:\Programme\NCH Software\Debut\debut.exe "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "switchShakeIcon.job" - "NCH Software" - C:\Programme\NCH Swift Sound\Switch\switch.exe "videopadSevenDays.job" - "NCH Software" - C:\Programme\NCH Software\VideoPad\videopad.exe "videopadShakeIcon.job" - "NCH Software" - C:\Programme\NCH Software\VideoPad\videopad.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "wuaucpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~2\CONNEC~1.CPL "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "APPDRV" (APPDRV) - "Dell Inc" - C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS "Apple Mobile USB Driver" (USBAAPL) - "Apple, Inc." - C:\WINDOWS\System32\Drivers\usbaapl.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\Combo-Fix\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys "cpuz135" (cpuz135) - "CPUID" - C:\WINDOWS\system32\drivers\cpuz135_x32.sys "Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys "FanIO driver" (fanio) - "Christian Diefer" - C:\WINDOWS\system32\drivers\fanio.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "kglcauod" (kglcauod) - ? - C:\DOKUME~1\LEKS_2~1\LOKALE~1\Temp\kglcauod.sys (Hidden registry entry, rootkit activity | File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys "mbr" (mbr) - ? - C:\DOKUME~1\LEKS_2~1\LOKALE~1\Temp\mbr.sys (Hidden registry entry, rootkit activity | File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PnkBstrK" (PnkBstrK) - ? - C:\WINDOWS\system32\drivers\PnkBstrK.sys (File found, but it contains no detailed information) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "SbieDrv" (SbieDrv) - "SANDBOXIE L.T.D" - C:\Programme\Sandboxie\SbieDrv.sys "Sound Tap Upper Class Filter Driver v2.0.0.0" (stdriver) - "NCH Software" - C:\WINDOWS\System32\DRIVERS\stdriver32.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {5F327514-6C5E-4d60-8F16-D07FA08A78ED} "Auto Update Property Sheet Extension" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {45670FA8-ED97-4F44-BC93-305082590BFB} "Windows XPS Document Metadata Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL {44121072-A222-48f2-A58A-6D9AD51EBBE9} "Windows XPS Document Thumbnail Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_13\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {326E768D-4182-46FD-9C16-1449A49795F4} "DivX Plus Web Player HTML5 <video>" - "DivX, LLC" - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Äleks_2\Startmenü\Programme\Autostart\desktop.ini "Dropbox.lnk" - "Dropbox, Inc." - C:\Dokumente und Einstellungen\Äleks_2\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Shortcut exists | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "GMX_GMX MultiMessenger" - "GMX GmbH" - "C:\Programme\GMX MultiMessenger\MESSENGR.EXE" /hide "i8kfangui" - "Christian Diefer" - C:\Programme\I8kfanGUI\I8kfanGUI.exe /startup "RocketDock" - ? - "C:\Programme\RocketDock\RocketDock.exe" (File found, but it contains no detailed information) "SandboxieControl" - "SANDBOXIE L.T.D" - "C:\Programme\Sandboxie\SbieCtrl.exe" "WallPaper" - ? - D:\DOWNLO~1\WPC_BU~1\WALLPA~1.EXE /h -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "ATICCC" - "ATI Technologies Inc." - "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "Dell QuickSet" - "Dell Inc" - C:\Programme\Dell\QuickSet\quickset.exe "IntelWireless" - "Intel(R) Corporation" - "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray "IntelZeroConfig" - "Intel(R) Corporation" - "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe" "Lexmark 3100 Series" - "Lexmark International, Inc." - "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe" "Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray "NokiaMServer" - "Nokia" - C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles startup [Network Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )----- "IntelNetProvCredMan" - "Intel(R) Corporation" - C:\WINDOWS\system32\netprovcredman.dll [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe "Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel(R) Corporation" - C:\Programme\Intel\WiFi\bin\EvtEng.exe "Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel(R) Corporation" - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe "Intel(R) PROSet/Wireless SSO Service" (WLANKEEPER) - "Intel(R) Corporation" - C:\Programme\Intel\WiFi\bin\WLKeeper.exe "Intel(R) PROSet/Wireless WiFi Service" (S24EventMonitor) - "Intel(R) Corporation" - C:\Programme\Intel\WiFi\bin\S24EvMon.exe "iPod Service" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe (File found, but it contains no detailed information) "PnkBstrB" (PnkBstrB) - ? - C:\WINDOWS\system32\PnkBstrB.exe (File found, but it contains no detailed information) "Sandboxie Service" (SbieSvc) - "SANDBOXIE L.T.D" - C:\Programme\Sandboxie\SbieSvc.exe "ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software Run date: 2011-08-03 17:04:17 ----------------------------- 17:04:17.187 OS Version: Windows 5.1.2600 Service Pack 3 17:04:17.187 Number of processors: 2 586 0xE08 17:04:17.187 ComputerName: MASCHINEALTER UserName: Äleks_2 17:04:17.578 Initialize success 17:14:09.656 AVAST engine defs: 11080300 17:15:14.000 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 17:15:14.000 Disk 0 Vendor: SAMSUNG_HM320II 2AC101C4 Size: 305245MB BusType: 3 17:15:16.187 Disk 0 MBR read successfully 17:15:16.187 Disk 0 MBR scan 17:15:16.234 Disk 0 Win32:MBRoot-J [Trj] 17:15:16.250 Disk 0 Windows XP default MBR code found via API 17:15:16.250 Disk 0 MBR hidden 17:15:16.250 Disk 0 MBR [Win32:MBRoot] **ROOTKIT** 17:15:16.250 Disk 0 trace - called modules: 17:15:16.296 ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x89c12e48]<< 17:15:16.296 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89de9ab8] 17:15:16.296 3 CLASSPNP.SYS[ba908fd7] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89d95940] 17:15:16.656 AVAST engine scan C:\WINDOWS 17:15:41.593 AVAST engine scan C:\WINDOWS\system32 17:24:39.703 AVAST engine scan C:\WINDOWS\system32\drivers 17:25:45.359 AVAST engine scan C:\Dokumente und Einstellungen\Äleks_2 17:36:36.359 AVAST engine scan C:\Dokumente und Einstellungen\All Users 17:39:18.781 Scan finished successfully 17:52:50.984 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Äleks_2\Desktop\MBR.dat" 17:52:50.984 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Äleks_2\Desktop\aswMBR.txt" Geändert von äleks (03.08.2011 um 17:15 Uhr) Grund: falsche log gepostet |
|
03.08.2011, 19:54
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Wir sollten den MBR reparieren. Sichere für den Fall der Fälle jetzt alle wichtigen Daten. Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRcheck und GMER nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.08.2011, 08:54
| #15 |
| |  stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? Da ich nur WinXP drauf habe, habe ich den MBR so repariert wie du gesagt hast. Hat alles reibungslos geklappt. Hier die neuen Logs: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-03 23:57:54
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM320II rev.2AC101C4
Running: gkqpmon0.exe; Driver: C:\DOKUME~1\LEKS_2~1\LOKALE~1\Temp\kglcauod.sys
---- System - GMER 1.0.15 ----
SSDT BAFAD174 ZwClose
SSDT BAFAD12E ZwCreateKey
SSDT BAFAD17E ZwCreateSection
SSDT BAFAD124 ZwCreateThread
SSDT BAFAD133 ZwDeleteKey
SSDT BAFAD13D ZwDeleteValueKey
SSDT BAFAD16F ZwDuplicateObject
SSDT BAFAD142 ZwLoadKey
SSDT BAFAD110 ZwOpenProcess
SSDT BAFAD115 ZwOpenThread
SSDT BAFAD14C ZwReplaceKey
SSDT BAFAD147 ZwRestoreKey
SSDT BAFAD183 ZwSetContextThread
SSDT BAFAD138 ZwSetValueKey
SSDT BAFAD11F ZwTerminateProcess
Code BAFCCC9C ZwRequestPort
Code BAFCCD3C ZwRequestWaitReplyPort
Code BAFCCBFC ZwTraceEvent
Code BAFCCC9B NtRequestPort
Code BAFCCD3B NtRequestWaitReplyPort
Code BAFCCBFB NtTraceEvent
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!NtTraceEvent 80535108 5 Bytes JMP BAFCCC00
PAGE ntkrnlpa.exe!NtRequestPort 805A2A5A 5 Bytes JMP BAFCCCA0
PAGE ntkrnlpa.exe!NtRequestWaitReplyPort 805A2D86 5 Bytes JMP BAFCCD40
.text win32k.sys!EngAcquireSemaphore + 2645 BF808959 5 Bytes JMP BAFCC480
.text win32k.sys!EngFreeUserMem + 5502 BF80EE10 5 Bytes JMP BAFCC3E0
.text win32k.sys!BRUSHOBJ_pvAllocRbrush + 320C BF81E6E6 5 Bytes JMP BAFCCA20
.text win32k.sys!EngSetLastError + 7659 BF828630 1 Byte [E9]
.text win32k.sys!EngSetLastError + 7659 BF828630 5 Bytes JMP BAFCC5C0
.text win32k.sys!EngLockSurface + 148C BF834F4F 5 Bytes JMP BAFCC700
.text win32k.sys!EngCreateBitmap + D95F BF8457CB 5 Bytes JMP BAFCC660
.text win32k.sys!EngGradientFill + 5128 BF8B3C72 5 Bytes JMP BAFCC520
.text win32k.sys!EngAlphaBlend + 9286 BF8C3127 5 Bytes JMP BAFCC7A0
.text win32k.sys!EngCreateClip + 1994 BF912854 5 Bytes JMP BAFCCAC0
.text win32k.sys!EngCreateClip + 1F24 BF912DE4 5 Bytes JMP BAFCCB60
.text win32k.sys!EngCreateClip + 256A BF91342A 5 Bytes JMP BAFCC840
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1596] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [00DB2BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1596] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter] [00DB2CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1596] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess] [00DB2CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x57 0x6D 0x9B 0xBD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD0 0x05 0x53 0xA3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x76 0xFF 0x87 0xE9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x57 0x6D 0x9B 0xBD ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD0 0x05 0x53 0xA3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x76 0xFF 0x87 0xE9 ...
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 625121283
Disk \Device\Harddisk0\DR0 PE file @ sector 625121305
---- EOF - GMER 1.0.15 ----
aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software Run date: 2011-08-04 09:24:42 ----------------------------- 09:24:42.609 OS Version: Windows 5.1.2600 Service Pack 3 09:24:42.609 Number of processors: 2 586 0xE08 09:24:42.609 ComputerName: MASCHINEALTER UserName: Äleks_2 09:24:42.828 Initialize success 09:24:50.453 AVAST engine defs: 11080300 09:25:18.937 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 09:25:18.937 Disk 0 Vendor: SAMSUNG_HM320II 2AC101C4 Size: 305245MB BusType: 3 09:25:20.953 Disk 0 MBR read successfully 09:25:20.953 Disk 0 MBR scan 09:25:20.984 Disk 0 Windows XP default MBR code 09:25:20.984 Disk 0 scanning sectors +625121280 09:25:21.015 Disk 0 malicious Win32:MBRoot code @ sector 625121283 ! 09:25:21.015 Disk 0 PE file @ sector 625121305 ! 09:25:21.062 Disk 0 scanning C:\WINDOWS\system32\drivers 09:25:28.656 Service scanning 09:25:29.546 Modules scanning 09:25:32.703 Disk 0 trace - called modules: 09:25:32.718 ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS 09:25:32.718 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89d98ab8] 09:25:32.734 3 CLASSPNP.SYS[ba908fd7] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89dd5d98] 09:25:33.125 AVAST engine scan C:\WINDOWS 09:25:36.625 AVAST engine scan C:\WINDOWS\system32 09:27:04.875 AVAST engine scan C:\WINDOWS\system32\drivers 09:27:16.062 AVAST engine scan C:\Dokumente und Einstellungen\Äleks_2 09:36:05.312 AVAST engine scan C:\Dokumente und Einstellungen\All Users 09:38:54.140 Scan finished successfully 09:51:06.453 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Äleks_2\Desktop\MBR.dat" 09:51:06.453 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Äleks_2\Desktop\aswMBR2.txt" Und?  Denkst du, es ist alles clean? |
|
| Themen zu stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system? |
| adware.zwunzi, babylon, brauche, combofix, entfernt?, erstell, gelöscht, hijack.userinit, java/trojandownloader.agent.ab, langsam, links, malware.trace, malwarebytes, neue tabs, neues, probleme, profil, pum.hijack.startmenu, seite, stolen.data, system32, trojan.banker, trojaner |
Linear-Darstellung
