| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR\Rootkit.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.08.2007, 19:32
| #1 |
| |  TR\Rootkit.Gen Hallo, das habe ich heute morgen beim hochfahren meines Rechners von Antivir agezeigt bekommen:  Darauf hin habe ich Highjackthis runtergeladen und folgendes Ergebnis bekommen: Logfile of HijackThis v1.99.1 Scan saved at 20:14:05, on 21.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\9129837.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WksCal.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.gericom.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.gericom.com/ R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: H - {A07B13C3-EBC8-49da-A4E3-08F9275FF68B} - sores2.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.gericom.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095921112914 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Phoenix VCD Service (PhnxVCDService) - Phoenix Technologies Ltd. - C:\WINDOWS\System32\PhnxCDSvr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Leider kann ich diesen Auszug nicht wirklich interpretieren oder hat er nichts gefunden? Wie soll ich mich weiter verhalten? Bisher habe ich den Rechner einfach nur wieder ausgeschaltet und arbeite jetzt von einem anderem PC. Danke im Voraus und Gruß Moritz |
|
21.08.2007, 19:40
| #2 | |
| Administrator > Competence Manager  | TR\Rootkit.GenHallo und  im Trojaner Board!Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle Anwendungen * Doppelklicke dss.exe um das Programm zu starten * Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt * Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE] Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt * es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Lauferken. Gruß  Sunny
__________________ |
|
21.08.2007, 19:42
| #3 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR\Rootkit.Gen Hallo.
__________________C:\WINDOWS\9129837.exe Werte diese Datei bitte mal online bei Virustotal aus und poste die Ergebnisse. Besorg dir bitte auch Blacklight, check das System damit und poste das Ergebnis. Falls die new_drv.sys gefunden wird, lass sie umbenennen und auch bei Virustotal auswerten. Edit: Ey da war Herr Sunny wieder schneller! 
__________________ |
|
22.08.2007, 18:50
| #4 |
| | TR\Rootkit.Gen Ersteinmal herzlichen Dank für die Hilfe! So, als erstes einmal die schlechte Nachricht: Ich konnte die Datei c:\windows\new_drv.sys nicht finden, obwohl ich der Anleitung zur Anzeige aller Dateien gefolgt bin. Oder gibt es da noch einen Trick? Hier das Ergebnis der Datei 9129837.exe Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.22 -
AntiVir 7.4.1.63 2007.08.22 TR/PCK.PolyCrypt.B.2011
Authentium 4.93.8 2007.08.22 -
Avast 4.7.1029.0 2007.08.21 -
AVG 7.5.0.484 2007.08.22 Win32/PolyCrypt
BitDefender 7.2 2007.08.22 DeepScan:Generic.PWStealer.3E169737
CAT-QuickHeal 9.00 2007.08.22 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.22 -
DrWeb 4.33 2007.08.22 -
eSafe 7.0.15.0 2007.08.22 Suspicious Trojan/Worm
eTrust-Vet 31.1.5080 2007.08.22 -
Ewido 4.0 2007.08.22 -
FileAdvisor 1 2007.08.22 -
Fortinet 2.91.0.0 2007.08.22 -
F-Prot 4.3.2.48 2007.08.22 -
F-Secure 6.70.13030.0 2007.08.22 Packed.Win32.PolyCrypt.b
Ikarus T3.1.1.12 2007.08.22 Trojan-Downloader.Win32.Small.cyn
Kaspersky 4.0.2.24 2007.08.22 Packed.Win32.PolyCrypt.b
McAfee 5103 2007.08.22 -
Microsoft 1.2803 2007.08.22 Trojan:Win32/Anomaly.gen!A
NOD32v2 2475 2007.08.22 -
Norman 5.80.02 2007.08.22 -
Panda 9.0.0.4 2007.08.22 -
Prevx1 V2 2007.08.22 -
Rising 19.37.22.00 2007.08.22 Packer.RyCrypt
Sophos 4.20.0 2007.08.22 Mal/Generic-A
Sunbelt 2.2.907.0 2007.08.22 VIPRE.Suspicious
Symantec 10 2007.08.22 -
TheHacker 6.1.8.171 2007.08.21 Trojan/PolyCrypt.b
VBA32 3.12.2.2 2007.08.22 -
VirusBuster 4.3.26:9 2007.08.22 Trojan.DR.Cimuz.Gen.1
Webwasher-Gateway 6.0.1 2007.08.22 Trojan.PCK.PolyCrypt.B.2011
weitere Informationen
File size: 28720 bytes
MD5: 1e6c9ce1101e4d18d2b49d28f53990ab
SHA1: 906a1a030103e5c091c551db595e35dd44d1342f
packers: RCrypt
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Code:
ATTFilter Verzeichnis von C:\
22.08.2007 16:21 536.268.800 hiberfil.sys
22.08.2007 16:21 805.306.368 pagefile.sys
22.07.2007 22:01 211 boot.ini
11.07.2007 18:19 50.873 playground.log
Verzeichnis von C:\WINDOWS\system32
22.08.2007 19:02 45 commands.xml
22.08.2007 16:21 58.792 vsconfig.xml
16.08.2007 14:02 1 ps.dat
16.08.2007 14:02 1 cookie.dat
16.08.2007 14:00 1 boa.dat
16.08.2007 14:00 49.152 sores2.dll
16.08.2007 14:00 2.805 help.txt
22.07.2007 21:57 4.212 zllictbl.dat
17.07.2007 07:12 1.158 wpa.dbl
21.06.2007 21:55 54.672 vsutil_loc0407.dll
21.06.2007 21:54 21.904 imsinstall_loc0407.dll
21.06.2007 21:54 17.808 imslsp_install_loc0407.dll
Verzeichnis von C:\WINDOWS\Prefetch
22.08.2007 19:08 11.600 FIND.EXE-0EC32F1E.pf
22.08.2007 19:08 13.200 CMD.EXE-087B4001.pf
22.08.2007 19:07 36.804 WINRAR.EXE-3588DFE8.pf
22.08.2007 19:04 88.402 WINWORD.EXE-0AEA99D4.pf
22.08.2007 19:02 39.370 UPDCLIENT.EXE-215FC96B.pf
22.08.2007 19:01 77.984 IEXPLORE.EXE-2CA9778D.pf
22.08.2007 19:00 33.826 WKDSTORE.EXE-31475208.pf
22.08.2007 18:59 8.792 RUNDLL32.EXE-451FC2C0.pf
22.08.2007 18:54 64.098 STEUER2006.EXE-2EE9F930.pf
22.08.2007 18:54 51.088 DWWIN.EXE-30875ADC.pf
22.08.2007 18:54 128.018 DUMPREP.EXE-1B46F901.pf
22.08.2007 18:50 16.682 TASKMGR.EXE-20256C55.pf
22.08.2007 18:44 16.946 CNMSM2R.EXE-1505629F.pf
22.08.2007 18:26 43.924 BDHTHELP.EXE-12E3D97E.pf
22.08.2007 17:07 25.170 LOGONUI.EXE-0AF22957.pf
22.08.2007 17:07 50.104 WKSCAL.EXE-28DC9075.pf
22.08.2007 16:22 51.204 WKSDB.EXE-363D5A61.pf
22.08.2007 16:22 22.612 WUAUCLT.EXE-399A8E72.pf
22.08.2007 16:22 73.500 MSWORKS.EXE-118DC2B4.pf
22.08.2007 16:22 859.126 NTOSBOOT-B00DFAAD.pf
21.08.2007 20:18 14.460 HIJACKTHIS.EXE-341B36BB.pf
21.08.2007 20:14 13.958 NOTEPAD.EXE-336351A9.pf
21.08.2007 20:03 95.964 WMIPRVSE.EXE-28F301A9.pf
21.08.2007 20:03 94.986 HELPSVC.EXE-2878DDA2.pf
21.08.2007 20:01 57.194 DFRGNTFS.EXE-269967DF.pf
21.08.2007 20:01 74.878 DEFRAG.EXE-273F131E.pf
21.08.2007 20:01 89.144 SSMYPICS.SCR-01C62024.pf
21.08.2007 20:01 371.420 Layout.ini
21.08.2007 19:46 41.558 AVNOTIFY.EXE-22AE9451.pf
21.08.2007 07:43 16.178 GUARDGUI.EXE-1BD45C30.pf
21.08.2007 07:43 20.940 9129837.EXE-391AE89C.pf
21.08.2007 07:43 21.872 FILE.EXE-39F8FE35.pf
20.08.2007 17:49 32.002 AVGNT.EXE-36CA4640.pf
20.08.2007 17:46 47.080 UPDATE.EXE-13D57D76.pf
20.08.2007 17:46 13.580 PREUPD.EXE-358AA1C1.pf
20.08.2007 17:45 46.468 DRWTSN32.EXE-2B4B52AC.pf
20.08.2007 14:49 82.990 ACRORD32.EXE-0EC716D9.pf
20.08.2007 14:07 64.098 EXCEL.EXE-0D2E9C6C.pf
20.08.2007 13:18 42.678 HH.EXE-2D1A70B3.pf
20.08.2007 09:34 70.238 ACRORD32INFO.EXE-30CEC19C.pf
19.08.2007 20:35 14.434 SVCHOST.EXE-3530F672.pf
18.08.2007 15:45 75.712 MSIMN.EXE-0B61806C.pf
18.08.2007 15:44 23.740 SNDVOL32.EXE-383480B7.pf
15.08.2007 18:57 13.526 REGSVR32.EXE-25EEFE2F.pf
15.08.2007 16:16 8.548 RUNDLL32.EXE-268BFF96.pf
13.08.2007 12:56 19.970 AGENTSVR.EXE-002E45AB.pf
12.08.2007 19:10 13.506 RUNDLL32.EXE-4D0C7B54.pf
12.08.2007 15:59 12.622 CALC.EXE-02CD573A.pf
11.08.2007 22:19 80.458 WINAMP.EXE-08C38ED9.pf
10.08.2007 18:27 13.196 RUNDLL32.EXE-4B3DF0C3.pf
10.08.2007 16:24 58.358 SCANWIZARD5.EXE-192601B1.pf
09.08.2007 11:47 13.092 RUNDLL32.EXE-1B56913F.pf
09.08.2007 10:24 51.056 MSOHELP.EXE-1EDF2DDC.pf
08.08.2007 17:46 48.848 IEDW.EXE-2D047874.pf
08.08.2007 13:11 14.580 RUNDLL32.EXE-2F24F4C9.pf
08.08.2007 12:59 12.518 RUNDLL32.EXE-2833DB12.pf
08.08.2007 12:59 16.492 RUNDLL32.EXE-188DF14E.pf
08.08.2007 12:56 13.362 RUNDLL32.EXE-40297D4C.pf
06.08.2007 12:02 48.170 AVGUARD.EXE-3490B18B.pf
30.07.2007 20:05 40.670 IMAPI.EXE-0BF740A4.pf
30.07.2007 19:17 2.348 STEUER2006.EXE-1C3A904D.pf
30.07.2007 19:15 25.890 SYSINFO.EXE-05E3E92C.pf
29.07.2007 16:58 12.800 SETHC.EXE-0D6CE1BC.pf
28.07.2007 18:49 12.650 RUNDLL32.EXE-18DB0E34.pf
28.07.2007 18:27 12.650 RUNDLL32.EXE-2844A29A.pf
28.07.2007 18:20 14.602 RUNDLL32.EXE-2BC71A1E.pf
28.07.2007 17:55 50.490 NEROSTARTSMART.EXE-280EC446.pf
28.07.2007 17:55 79.392 NERO.EXE-32314E31.pf
28.07.2007 17:55 9.878 AHUI.EXE-10CE5D84.pf
28.07.2007 17:52 53.752 ITUNES.EXE-15E88941.pf
26.07.2007 13:40 14.600 RUNDLL32.EXE-433DC3F6.pf
25.07.2007 16:52 6.624 WKCALREM.EXE-21E976E2.pf
25.07.2007 16:52 13.242 CTFMON.EXE-0E17969B.pf
25.07.2007 16:52 6.226 WKUFIND.EXE-18C07230.pf
25.07.2007 16:52 35.964 ZLCLIENT.EXE-0120F620.pf
25.07.2007 16:52 5.846 ATIPRBXX.EXE-2EF3CAC1.pf
24.07.2007 17:52 21.340 BDEDIT.EXE-1AFCA85D.pf
23.07.2007 11:45 21.434 UPDATER.EXE-159517A2.pf
23.07.2007 11:31 12.926 MSCONFIG.EXE-35E4DAE9.pf
23.07.2007 11:31 20.300 ATIPTAXX.EXE-12B5048A.pf
23.07.2007 11:31 21.270 RUNDLL32.EXE-47D57928.pf
22.07.2007 21:04 28.294 HPWUCLI.EXE-255A3051.pf
22.07.2007 21:04 26.470 HPRBUPDATE.EXE-06271174.pf
22.07.2007 21:03 90.120 HPQSTE08.EXE-1E91DFAA.pf
84 Datei(en) 4.216.102 Bytes
0 Verzeichnis(se), 16.540.794.880 Bytes frei
Verzeichnis von C:\WINDOWS
22.08.2007 16:21 718.853 setupapi.log
22.08.2007 16:21 0 0.log
22.08.2007 16:21 1.123.187 WindowsUpdate.log
22.08.2007 16:21 159 wiadebug.log
22.08.2007 16:21 50 wiaservc.log
22.08.2007 16:21 2.048 bootstat.dat
21.08.2007 07:44 32.594 SchedLgU.Txt
21.08.2007 07:43 28.720 9129837.exe
11.08.2007 09:36 35 Ulead32.INI
11.08.2007 09:33 645 win.ini
22.07.2007 22:02 219.362 setupact.log
22.07.2007 22:01 227 system.ini
22.07.2007 21:33 1.409 QTFont.for
22.07.2007 21:33 54.156 QTFont.qfn
Verzeichnis von C:\WINDOWS\tasks
22.08.2007 16:21 6 SA.DAT
29.08.2002 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 16.540.782.592 Bytes frei
Verzeichnis von C:\WINDOWS\temp
22.08.2007 16:21 256 ZLT03e6d.TMP
22.08.2007 16:21 256 ZLT04193.TMP
21.08.2007 19:45 256 ZLT00f55.TMP
21.08.2007 19:45 256 ZLT00f52.TMP
20.08.2007 17:46 0 Upd1C.tmp
19.08.2007 17:46 0 Upd19.tmp
18.08.2007 17:46 0 Upd17.tmp
17.08.2007 17:46 0 Upd16.tmp
17.08.2007 17:15 23.268.531 PROTOCOL.LOG
16.08.2007 17:46 0 Upd18.tmp
15.08.2007 17:46 0 Upd13.tmp
13.08.2007 18:40 256 ZLT06ccd.TMP
13.08.2007 18:40 256 ZLT06cca.TMP
13.08.2007 18:32 256 ZLT00f36.TMP
13.08.2007 18:32 256 ZLT06713.TMP
13.08.2007 18:28 256 ZLT044f5.TMP
13.08.2007 18:28 256 ZLT063ab.TMP
13.08.2007 14:54 0 Upd1B.tmp
13.08.2007 12:22 256 ZLT06ad1.TMP
13.08.2007 12:22 256 ZLT04bea.TMP
13.08.2007 10:14 0 Upd14.tmp
13.08.2007 10:13 256 ZLT05990.TMP
13.08.2007 10:13 256 ZLT06917.TMP
12.08.2007 19:16 256 ZLT03a0b.TMP
12.08.2007 19:16 256 ZLT03a08.TMP
12.08.2007 19:01 256 ZLT01e3c.TMP
12.08.2007 19:01 256 ZLT02e97.TMP
12.08.2007 14:54 256 ZLT03662.TMP
12.08.2007 14:54 256 ZLT07171.TMP
10.08.2007 22:59 0 Upd1D.tmp
09.08.2007 20:12 0 UpdF.tmp
08.08.2007 13:00 0 UpdE.tmp
07.08.2007 07:44 256 ZLT03207.TMP
07.08.2007 07:44 256 ZLT02257.TMP
06.08.2007 11:56 0 UpdC.tmp
06.08.2007 07:43 256 ZLT00c5c.TMP
06.08.2007 07:43 256 ZLT052db.TMP
03.08.2007 06:34 256 ZLT033dd.TMP
03.08.2007 06:34 256 ZLT033da.TMP
02.08.2007 16:48 0 Upd6.tmp
01.08.2007 16:48 0 Upd5.tmp
01.08.2007 15:20 256 ZLT029f1.TMP
01.08.2007 15:20 256 ZLT029ed.TMP
31.07.2007 16:48 0 UpdA.tmp
30.07.2007 16:48 0 UpdB.tmp
29.07.2007 16:48 0 UpdD.tmp
28.07.2007 16:48 0 Upd8.tmp
27.07.2007 07:44 256 ZLT01e0f.TMP
27.07.2007 07:44 256 ZLT04634.TMP
27.07.2007 06:23 256 ZLT05820.TMP
27.07.2007 06:23 256 ZLT00859.TMP
26.07.2007 06:15 256 ZLT034a7.TMP
26.07.2007 06:15 256 ZLT034a4.TMP
25.07.2007 16:49 256 ZLT04bb3.TMP
25.07.2007 16:49 256 ZLT04bb0.TMP
25.07.2007 10:03 256 ZLT071f2.TMP
25.07.2007 10:03 256 ZLT014fc.TMP
24.07.2007 12:06 0 Upd4.tmp
24.07.2007 09:22 0 Upd7.tmp
23.07.2007 19:01 256 ZLT0585e.TMP
23.07.2007 19:01 256 ZLT03937.TMP
23.07.2007 09:22 0 Upd3.tmp
20.07.2007 19:38 0 Upd112.tmp
Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp
22.08.2007 19:08 141.567 filelist.txt
22.08.2007 19:02 16.384 ~DF31AE.tmp
22.08.2007 19:00 7.364 WcesView.log
22.08.2007 19:00 16.384 ~WRF3924.tmp
22.08.2007 18:59 512 ~DFF2D0.tmp
22.08.2007 18:59 512 ~DFC9E8.tmp
18.08.2007 20:08 53.728 561e_appcompat.txt
17.08.2007 17:08 64.856 java_install_reg.log
17.08.2007 17:00 33.280 ~WRS0984.tmp
17.08.2007 17:00 13.821 ~WRD3190.doc
17.08.2007 17:00 560 mso3C3.icm
17.08.2007 16:59 492 mso34D.icm
17.08.2007 16:58 16.384 ~WRF3421.tmp
17.08.2007 16:42 55.084 ~WRS3535.tmp
17.08.2007 16:42 9.357 ~WRD0005.doc
17.08.2007 16:42 492 mso67.icm
17.08.2007 16:42 560 mso3AE.icm
17.08.2007 16:41 16.384 ~WRF0004.tmp
17.08.2007 12:09 0 mso2.tmp
17.08.2007 12:09 0 mso1.tmp
16.08.2007 15:24 1.509 ~WRD0004.doc
16.08.2007 15:23 16.384 ~WRF0003.tmp
16.08.2007 15:23 1.509 ~WRD0003.doc
16.08.2007 15:23 16.384 ~WRF0002.tmp
13.08.2007 13:31 0 JET4AB6.tmp
13.08.2007 10:54 512 ~DFD10D.tmp
13.08.2007 10:53 114.688 ~DF94AE.tmp
13.08.2007 10:53 16.384 1E.tmp
13.08.2007 10:41 512 ~DF9E8.tmp
13.08.2007 10:37 512 ~DF82D9.tmp
13.08.2007 10:36 114.688 ~DF2428.tmp
13.08.2007 10:36 16.384 19.tmp
13.08.2007 10:33 16.384 ~DFAC38.tmp
11.08.2007 09:58 2.261 TWAIN.LOG
11.08.2007 09:33 4 Twain001.Mtx
11.08.2007 09:33 156 Twunk001.MTX
07.08.2007 07:56 0 JET6B3A.tmp
06.08.2007 19:16 0 JET74E2.tmp
06.08.2007 16:56 0 JET32FE.tmp
04.08.2007 12:51 16.384 ~WRF0001.tmp
04.08.2007 12:51 32.256 mso34C.doc
03.08.2007 06:33 5.471 ~WRS0002.tmp
03.08.2007 06:33 139.232 e23f_appcompat.txt
03.08.2007 06:17 16.384 ~WRF0000.tmp
03.08.2007 06:17 8.704 wecerr.txt
03.08.2007 06:17 21.504 mso133.doc
01.08.2007 19:20 512 ~DF17D8.tmp
01.08.2007 19:20 16.384 7.tmp
01.08.2007 19:20 187.904 mso126.xls
01.08.2007 19:20 16.384 ~DFF459.tmp
31.07.2007 15:54 12.094 h2r6.tmp
31.07.2007 15:42 70.947 GXXUBP81.htm
31.07.2007 15:38 70.946 FR2RZ7Y4.htm
25.07.2007 10:05 0 JET4E7F.tmp
24.07.2007 16:45 43.617 EK9VITQP.htm
24.07.2007 16:45 506 LAHX3MK0.htm
24.07.2007 16:37 42.969 IB14E5IJ.htm
24.07.2007 16:37 506 SWYJJGYQ.htm
24.07.2007 12:40 53.728 c152_appcompat.txt
23.07.2007 09:36 0 Twunk002.MTX
22.07.2007 21:59 371 WCESCOMM.LOG
22.07.2007 21:59 98.304 ~DF439E.tmp
22.07.2007 21:44 0 GLF178.tmp
22.07.2007 21:42 172 GLG173.tmp
22.07.2007 21:42 0 GLF176.tmp
22.07.2007 21:42 0 GLF177.tmp
22.07.2007 21:42 0 GLF175.tmp
22.07.2007 21:42 33.792 GLH171.tmp
22.07.2007 21:42 165.376 GLC170.tmp
22.07.2007 21:42 71.680 GLB16F.tmp
22.07.2007 21:37 0 GLF16E.tmp
22.07.2007 21:37 0 GLF16D.tmp
22.07.2007 21:37 0 GLF16C.tmp
22.07.2007 21:37 0 GLF16B.tmp
22.07.2007 21:37 172 GLG169.tmp
22.07.2007 21:37 33.792 GLH167.tmp
22.07.2007 21:37 165.376 GLC166.tmp
22.07.2007 21:37 71.680 GLB165.tmp
22.07.2007 21:32 542 QTInstallCode.log
22.07.2007 21:30 8.720 hpzscr007.log
22.07.2007 21:30 1.610 hpqUNI000.2007Jul22-213044.LOG
22.07.2007 21:30 2.055 hpzmsi037.log
22.07.2007 21:30 190 hpz_UC_{65b97cfb-5cfb-4764-badc-0b3a756e761c}_PC_{C7F54CF8-D6FB-4E0A-93A3-E68AE0D6C476}_uninstall.log
22.07.2007 21:30 2.055 hpzmsi036.log
22.07.2007 21:30 190 hpz_UC_{29288fbb-da46-4ac2-84b9-7a8367fe60df}_PC_{4EA684E9-5C81-4033-A696-3019EC57AC3A}_uninstall.log
22.07.2007 21:30 105.406 hpzscr007_MSI_0.log
22.07.2007 21:30 1.781 hpzmsi035.log
22.07.2007 21:30 2.387 hpzscr006.log
22.07.2007 21:30 23.063 hpqbud05.dat
22.07.2007 21:29 10.663 hpzscr005.log
22.07.2007 21:29 64.316 hpwUNI006.2007Jul22-212936.LOG
22.07.2007 21:29 190 hpz_UC_{f7b695d5-dcba-416b-a7f1-b037657d49f6}_PC_{70AF2F0B-9319-48A2-A1E1-CB99623E8AE9}_uninstall.log
22.07.2007 21:29 2.055 hpzmsi034.log
22.07.2007 21:29 2.055 hpzmsi033.log
22.07.2007 21:29 190 hpz_UC_{ec751f19-8a84-4c84-8a03-8855a720c7f5}_PC_{D49EE5B7-1AEB-49C9-B77D-4AEE7249F505}_uninstall.log
22.07.2007 21:29 2.055 hpzmsi032.log
22.07.2007 21:29 190 hpz_UC_{99875b08-9b01-4eaa-9ab6-88083312b3fd}_PC_{5912068C-847F-43B4-9D83-65A96EA855CF}_uninstall.log
22.07.2007 21:29 2.055 hpzmsi031.log
22.07.2007 21:29 190 hpz_UC_{44a65876-0025-4592-b790-fdeb625b59ec}_PC_{A6C6C1DE-0D11-413c-862C-3EF8634602E7}_uninstall.log
22.07.2007 21:29 2.055 hpzmsi030.log
22.07.2007 21:29 190 hpz_UC_{199c1b11-8dac-4eb2-bea1-1867e367f753}_PC_{39051135-10B7-4FA5-AD35-724EBC59343A}_uninstall.log
22.07.2007 21:29 226 hpz_UC_{34e02a42-f4fc-4334-bf20-0ae4edf9d5c1}_PC_{866D2442-3482-447f-AF97-36C09E5DE384}_uninstall.log
22.07.2007 21:29 2.055 hpzmsi029.log
22.07.2007 21:29 2.055 hpzmsi028.log
22.07.2007 21:29 190 hpz_UC_{dafe133a-d8f7-4c22-b4e1-74b7ef92d355}_PC_{AA39370F-323C-47a6-9D3E-F6B4363B7C17}_uninstall.log
22.07.2007 21:29 1.781 hpzmsi027.log
22.07.2007 21:29 2.459 hpzscr004.log
22.07.2007 21:29 8.896 hpwscr06.dat
22.07.2007 21:28 10.180 hpzscr003.log
22.07.2007 21:28 1.708 hpqUNI001.2007Jul22-212845.LOG
22.07.2007 21:28 190 hpz_UC_{95660bf7-6ad6-40ed-af18-f14bb0a49b29}_PC_{6909F917-5499-482e-9AA1-FAD06A99F231}_uninstall.log
22.07.2007 21:28 2.055 hpzmsi026.log
22.07.2007 21:28 2.055 hpzmsi025.log
22.07.2007 21:28 190 hpz_UC_{3e1bd9d1-80f1-4965-824d-05587bd19fd5}_PC_{8331C3EA-0C91-43AA-A4D4-27221C631139}_uninstall.log
22.07.2007 21:28 2.170 hpzmsi024.log
22.07.2007 21:28 190 hpz_UC_{348082c7-a032-4e1d-9b2a-41514c010335}_PC_{DBC20735-34E6-4E97-A9E5-2066B66B243D}_uninstall.log
22.07.2007 21:28 2.055 hpzmsi023.log
22.07.2007 21:28 190 hpz_UC_{68fce472-ccc6-4113-a478-3d29fc934ea0}_PC_{45B8A76B-57EC-4242-B019-066400CD8428}_uninstall.log
22.07.2007 21:28 108.884 hpzscr003_MSI_0.log
22.07.2007 21:28 1.781 hpzmsi022.log
22.07.2007 21:28 2.419 hpzscr002.log
22.07.2007 21:28 27.390 hpqbud01.dat
22.07.2007 21:28 7.788 hpzscr001.log
22.07.2007 21:28 1.682 hpqUNI000.2007Jul22-212821.LOG
22.07.2007 21:28 2.055 hpzmsi021.log
22.07.2007 21:28 190 hpz_UC_{10e65ed7-1ce3-4422-896b-fa5055abeb5e}_PC_{E1B80DEE-A795-4258-8445-074C06AE3AB8}_uninstall.log
22.07.2007 21:28 4.395 MsiExe001.log
22.07.2007 21:28 109.448 hpzscr001_MSI_0.log
22.07.2007 21:28 1.781 hpzmsi020.log
22.07.2007 21:27 2.075 hpzscr000.log
22.07.2007 21:27 22.859 hpqhsc01.dat
22.07.2007 21:12 108.139 jusched.log
22.07.2007 21:03 168.952 hpodvd09.log
22.07.2007 21:02 129 STS8D.tmp
22.07.2007 21:02 1.285 MAR8A.tmp
22.07.2007 21:02 1.342 MAR89.tmp
22.07.2007 09:22 129 STS8B.tmp
22.07.2007 09:22 1.285 MAR88.tmp
22.07.2007 09:22 1.342 MAR87.tmp
21.07.2007 06:38 129 STS89.tmp
21.07.2007 06:38 1.285 MAR86.tmp
21.07.2007 06:38 1.342 MAR85.tmp
20.07.2007 07:37 129 STS87.tmp
20.07.2007 07:37 1.285 MAR84.tmp
20.07.2007 07:37 1.342 MAR83.tmp
|
|
22.08.2007, 18:58
| #5 |
| | TR\Rootkit.Gen Das DDS Ergebnis: Main: Code:
ATTFilter Deckard's System Scanner v20070819.64 Run by eddi on 2007-08-22 19:23:41 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 66: 2007-08-22 17:23:55 UTC - RP444 - Deckard's System Scanner Restore Point 65: 2007-08-21 18:02:47 UTC - RP443 - Systemprüfpunkt 64: 2007-08-20 16:52:49 UTC - RP442 - Systemprüfpunkt 63: 2007-08-19 15:47:50 UTC - RP441 - Systemprüfpunkt 62: 2007-08-18 14:17:12 UTC - RP440 - Systemprüfpunkt -- First Restore Point -- 1: 2007-05-24 09:47:35 UTC - RP379 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis (run as eddi.exe) ------------------------------------------------ Logfile of HijackThis v1.99.1 Scan saved at 19:24:58, on 22.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\9129837.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\Dokumente und Einstellungen\***\Desktop\dss.exe C:\DOKUME~1\***\Desktop\eddi.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/ R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: H - {A07B13C3-EBC8-49da-A4E3-08F9275FF68B} - sores2.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095921112914 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Phoenix VCD Service (PhnxVCDService) - Phoenix Technologies Ltd. - C:\WINDOWS\System32\PhnxCDSvr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R0 avgntmgr - c:\windows\system32\drivers\avgntmgr.sys <Not Verified; AVIRA GmbH; AntiVir®> R0 RITCPT - c:\windows\system32\drivers\ritcpt.sys R0 VVBackd5 - c:\windows\system32\drivers\vvbackd5.sys R2 FBAPI - c:\windows\system32\drivers\fbapi.sys R3 Iviaspi (IVI ASPI Shell) - c:\windows\system32\drivers\iviaspi.sys <Not Verified; InterVideo, Inc.; InterVideo ASPI Shell> R3 Pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell> R3 PhnxVcd - c:\windows\system32\drivers\phnxvcd.sys <Not Verified; Phoenix Technologies Ltd.; Virtual CD> S3 CONAN - c:\windows\system32\drivers\o2mmb.sys <Not Verified; O2 Micro; o2mmb> S3 MbxStby - c:\windows\system32\drivers\mbxstby.sys <Not Verified; O2 Micro; o2mmb> S3 new_drv (!!!!) - c:\windows\new_drv.sys (file missing) -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir Scheduler) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; Scheduler> S3 PhnxVCDService (Phoenix VCD Service) - c:\windows\system32\phnxcdsvr.exe <Not Verified; Phoenix Technologies Ltd.; Phoenix Technologies PhnxCDSvr> S3 WmcCds (Windows Media Connect (WMC)) - c:\programme\windows media connect\mswmccds.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> S3 WmcCdsLs (Windows Media Connect-Hilfsprogramm) - c:\programme\windows media connect\mswmcls.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> -- Device Manager: Disabled ---------------------------------------------------- Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318} Description: Realtek RTL8139/810x Family Fast Ethernet NIC Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_97001584&REV_10\4&22270378&0&50F0 Manufacturer: Realtek Semiconductor Corp. Name: Realtek RTL8139/810x Family Fast Ethernet NIC PNP Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_97001584&REV_10\4&22270378&0&50F0 Service: RTL8023xp Class GUID: Description: Basissystemgerät Device ID: PCI\VEN_1217&DEV_7110&SUBSYS_30081584&REV_00\4&22270378&0&5AF0 Manufacturer: Name: Basissystemgerät PNP Device ID: PCI\VEN_1217&DEV_7110&SUBSYS_30081584&REV_00\4&22270378&0&5AF0 Service: Class GUID: Description: PCI-Modem Device ID: PCI\VEN_8086&DEV_24C6&SUBSYS_40071584&REV_03\3&267A616A&0&FE Manufacturer: Name: PCI-Modem PNP Device ID: PCI\VEN_8086&DEV_24C6&SUBSYS_40071584&REV_03\3&267A616A&0&FE Service: -- Files created between 2007-07-22 and 2007-08-22 ----------------------------- 2007-08-21 07:43:46 28720 --a------ C:\WINDOWS\9129837.exe 2007-08-16 14:02:07 1 --a------ C:\WINDOWS\system32\ps.dat 2007-08-16 14:02:07 1 --a------ C:\WINDOWS\system32\cookie.dat 2007-08-16 14:00:00 49152 --a------ C:\WINDOWS\system32\sores2.dll <Not Verified; ; Helper Module> 2007-08-09 09:52:52 0 d-------- C:\2007. HH-ES 1728 2007-08-08 12:58:13 0 d-------- C:\07-08 Stick 2007-07-28 18:10:56 0 d-------- C:\07.07.28Stick 2007-07-22 21:55:28 74396 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-07-22 21:55:28 75932 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-07-22 21:55:23 2361376 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat -- Find3M Report --------------------------------------------------------------- 2007-08-22 19:23:16 34324 --a------ C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat 2007-08-16 14:00:00 1 --a------ C:\WINDOWS\system32\boa.dat 2007-07-22 21:57:29 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-07-22 21:48:19 0 d-------- C:\Programme\Google 2007-07-22 21:33:54 0 d--h----- C:\Programme\InstallShield Installation Information 2007-07-22 21:33:34 0 d-------- C:\Programme\QuickTime 2007-07-22 21:30:28 0 d-------- C:\Programme\HP 2007-07-22 21:27:10 0 d-------- C:\Programme\Winamp 2007-07-22 21:26:16 0 d-------- C:\Programme\Zylom Games 2007-07-22 21:24:11 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe 2007-07-11 16:59:13 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PlayFirst 2007-07-04 18:21:38 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HP 2007-06-28 13:41:48 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM 2007-06-13 19:26:06 42551 --a------ C:\WINDOWS\system32\c5q1.dll <Not Verified; ; Helper Module> 2007-06-13 19:26:03 42551 --a------ C:\WINDOWS\system32\cr3m.dll <Not Verified; ; Helper Module> -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A07B13C3-EBC8-49da-A4E3-08F9275FF68B}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [10.06.2004 21:10] "farstone"="" [] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [17.06.2003 17:14] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [21.04.2007 19:29] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [21.06.2007 21:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57] "ttool"="C:\WINDOWS\9129837.exe" [21.08.2007 07:43] C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\ WkCalRem.LNK - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe [23.07.2003 08:43:10] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo Scheduler server.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo Scheduler server.lnk backup=C:\WINDOWS\pss\InterVideo Scheduler server.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Scanner Finder.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Scanner Finder.lnk backup=C:\WINDOWS\pss\Scanner Finder.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Home Theater SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINCINEMAMGR] C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 Pml Driver HPZ12 Net Driver HPZ12 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e381ca81-8181-11d9-a73c-806d6172696f}] AutoRun\command- D:\Autorun.exe "/Docs/start_PG/start.html" -- End of Deckard's System Scanner: finished at 2007-08-22 19:26:19 ------------ |
|
22.08.2007, 19:00
| #6 |
| | TR\Rootkit.Gen und zu guterletzt: extra: Code:
ATTFilter Deckard's System Scanner v20070819.64
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------
-- System Information ----------------------------------------------------------
Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German
CPU 0: Intel(R) Pentium(R) M processor 1.70GHz
Percentage of Memory in Use: 56%
Physical Memory (total/avail): 511.36 MiB / 223.43 MiB
Pagefile Memory (total/avail): 1249.11 MiB / 941.04 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1970.76 MiB
C: is Fixed (NTFS) - 67.72 GiB total, 15.35 GiB free.
D: is CDROM (Unformatted)
E: is Removable (FAT)
-- Security Center -------------------------------------------------------------
AUOptions is disabled.
Windows Internal Firewall is disabled.
UpdatesDisableNotify is set.
AntivirusOverride is set.
FW: ZoneAlarm Firewall v7.0.362.000 (Check Point, LTD.)
AV: AntiVir PersonalEdition Classic Virenschutz v0.0.0.0 (AntiVir PersonalProducts GmbH)
AV: AntiVir PersonalEdition Classic Virenschutz v 6.39.1.24
(AntiVir PersonalProducts GmbH) Disabled
AV: AntiVir PersonalEdition Classic Virenschutz v0.0.0.0 (AntiVir PersonalProducts GmbH)
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:*:Enabled:ActiveSync Application"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
-- Environment Variables -------------------------------------------------------
ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\eddi\Anwendungsdaten
CLASSPATH=.;
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=NAME-3LCSU3TL0R
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\eddi
LOGONSERVER=\\NAME-3LCSU3TL0R
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\Programme\KOBIL Systems\KOBIL ZKA-Sig-API;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 13 Stepping 6, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0d06
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\***\LOKALE~1\Temp
TMP=C:\DOKUME~1\***\LOKALE~1\Temp
tvdumpflags=8
USERDOMAIN=NAME-3LCSU3TL0R
USERNAME=eddi
USERPROFILE=C:\Dokumente und Einstellungen\eddi
windir=C:\WINDOWS
ZKA_SIG_HOME=C:\Programme\KOBIL Systems\KOBIL ZKA-Sig-API
-- User Profiles ---------------------------------------------------------------
*** (admin)
-- Add/Remove Programs ---------------------------------------------------------
--> "C:\Programme\InstallShield Installation Information\{1A91D1FA-B9B3-4556-9878-5C61059A19B2}\setup.exe" REMOVEALL
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{89AD2814-AFA2-46AF-AE53-C27196D9FBE6}\setup.exe" REMOVEALL
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AAA4CCCE-78DB-47B0-A651-68270D838BD4}\setup.exe" REMOVEALL
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ABBYY FineReader OCR Engine --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{345C90FB-FA10-11D5-9C2A-0080C85A0C2D}\setup.exe"
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe -uninstallUnlock
Adobe Reader 7.0.7 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000}
Ahead Nero Burning ROM --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Avira AntiVir PersonalEdition Classic --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Canon iP2200 --> C:\WINDOWS\system32\CNMCP74.exe "-PRINTERNAMECanon iP2200" "-HELPERDLLC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ\IJPrinter\CNMWINDOWS\Canon iP2200 Installer\Inst2\cnmis.dll" "-RCDLLcnmi0407.dll"
Die Schlacht um Mittelerde(tm) --> C:\Programme\EA GAMES\Die Schlacht um Mittelerde(tm)\EAUninstall.exe
Google Earth --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x9 -removeonly
HBCI-API (COM) --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4F68D235-2278-11D4-88C2-00105AD927B5}\setup.exe"
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs --> MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
HijackThis 1.99.1 --> C:\Dokumente und Einstellungen\eddi\Desktop\HijackThis.exe /uninstall
InterVideo Disc Master 2.5 --> "C:\Programme\InstallShield Installation Information\{F366D0C4-18F2-44A6-A4E7-7ED2DD37F3D3}\setup.exe" --u:{F366D0C4-18F2-44A6-A4E7-7ED2DD37F3D3}
InterVideo DVDCopy --> "C:\Programme\InstallShield Installation Information\{DD28F8FE-CC0B-47BD-A833-CBBC19D6A8E2}\setup.exe" --u:{DD28F8FE-CC0B-47BD-A833-CBBC19D6A8E2}
InterVideo Home Theater --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F7514465-E5F3-48E9-A952-327DAEF33DE6}\setup.exe" REMOVEALL
InterVideo WinDVD Creator 2 --> "C:\Programme\InstallShield Installation Information\{2FCE4FC5-6930-40E7-A4F1-F862207424EF}\setup.exe" REMOVEALL
InterVideo WinDVD Recorder 5 --> "C:\Programme\InstallShield Installation Information\{0B168FED-B9EC-4DA8-AC17-9A41F284640B}\setup.exe" REMOVEALL
iTunes --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{59C4F14F-7590-45FC-BE9F-A67AB3590709} /l1031
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
KOBIL Chipkartenterminal Treiber V2.0.0s Build: 20060208.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3ECA0079-088F-4E69-B66A-65D5E687B092}\Setup.exe" anything
Microsoft ActiveSync 3.8 --> "C:\WINDOWS\ISUN0407.EXE" -f"C:\Programme\Microsoft ActiveSync\DeIsL1.isu" -c"C:\Programme\Microsoft ActiveSync\ceuninst.dll"
Microsoft AutoRoute v11.0 --> MsiExec.exe /I{8704D51E-25B7-4F23-81E7-AA4F54790220}
Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Encarta Enzyklopädie 2004 --> MsiExec.exe /I{04440044-9149-45C6-A806-F2BF9CFCE762}
Microsoft Office 2000 Professional --> MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft Picture It! Foto Premium 9 --> C:\WINDOWS\System32\msiexec.exe /i {DBA8B9E1-C6FF-4624-9598-73D3B41A0903}
Microsoft Windows-Journal-Viewer --> MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA7}
Microsoft Word 2002 --> MsiExec.exe /I{911B0407-6000-11D3-8CFE-0050048383C9}
Microsoft Works --> MsiExec.exe /I{5B680750-760B-49E4-81E7-21B2B337F9F7}
Microsoft Works Suite-Add-Ins für Microsoft Word --> MsiExec.exe /I{4EAD2E21-1D4A-4E2B-A082-8D08961539C9}
Phoenix FirstWare Vault --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\8\INTEL3~1\IDriver.exe /M{7189085D-C9B1-4941-BEA0-5B3035A92B13} /l1031
REALTEK Gigabit and Fast Ethernet NIC Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\SETUP.EXE" -l0x7 REMOVE
Recover Pro --> C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\un_vback.exe
S450 --> C:\WINDOWS\system32\CNMS450.EXE -@C:\WINDOWS\IsUn0407.exe -f"C:\BJPrinter\CNMWINDOWS\Canon S450 Installer\Inst\DeIsL1.isu" -pCanon S450-c"C:\BJPrinter\CNMWINDOWS\Canon S450 Installer\Inst\bjinst.dll
ScanWizard 5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B08D262E-D902-11D5-9C28-0080C85A0C2D}\setup.exe"
Setup-Start von Microsoft Works 2004 --> C:\Programme\Microsoft Works Suite 2004\Setup\Launcher.exe /ARP D:\
Shockwave --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066) --> "C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896688) --> "C:\WINDOWS\$NtUninstallKB896688$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899588) --> "C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905915) --> "C:\WINDOWS\$NtUninstallKB905915$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913446) --> "C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Skype 3.0 --> "C:\Programme\Skype\Phone\unins000.exe"
Skype Plugin Manager --> MsiExec.exe /I{3D5E5C0A-5B36-4F98-99A7-287F7DBDCE03}
Steuersparer --> MsiExec.exe /I{C7EFFFBF-A065-4AED-9676-79A19CF633F8}
Steuersparer 2007 --> MsiExec.exe /I{C06FE949-CB83-433C-89B5-CE15C6EF534A}
Trillian --> C:\Programme\Trillian\trillian.exe /uninstall
Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
VIA Audio Driver Setup Program --> RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINDOWS\IsUn0407.exe -y-f"C:\PROGRA~1\VIAudioi\SBASetup\Uninst.isu"
Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe"
Windows Media Connect --> msiexec.exe /I {F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}
Windows Media Connect --> MsiExec.exe /I{F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}
Windows Media Encoder 9-Reihe --> msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Encoder 9-Reihe --> MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows XP-Hotfix - KB867282 --> C:\WINDOWS\$NtUninstallKB867282$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873333 --> C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885884 --> C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742 --> C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887797 --> C:\WINDOWS\$NtUninstallKB887797$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890047 --> C:\WINDOWS\$NtUninstallKB890047$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890175 --> C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe
WinZip --> "C:\Programme\WinZip\WINZIP32.EXE" /uninstall
WinZip Self-Extractor --> "C:\Programme\WinZip Self-Extractor\wzipse32.exe" -uninstall
ZoneAlarm --> C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe
-- Application Event Log -------------------------------------------------------
Event Record #/Type657 / Error
Event Submitted/Written: 08/22/2007 06:54:38 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Stillstehende Anwendung ***.exe, Version 8.0.0.60, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Event Record #/Type656 / Warning
Event Submitted/Written: 08/22/2007 04:21:35 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\WINDOWS\new_drv.sys
verdächtigen Code mit der Bezeichnung 'TR/Rootkit.Gen'!
Event Record #/Type654 / Warning
Event Submitted/Written: 08/21/2007 07:45:15 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\WINDOWS\new_drv.sys
verdächtigen Code mit der Bezeichnung 'TR/Rootkit.Gen'!
Event Record #/Type652 / Warning
Event Submitted/Written: 08/21/2007 07:43:47 AM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\WINDOWS\new_drv.sys
verdächtigen Code mit der Bezeichnung 'TR/Rootkit.Gen'!
Event Record #/Type647 / Error
Event Submitted/Written: 08/20/2007 05:45:20 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.2180, fehlgeschlagenes Modul msvcrt.dll, Version 7.0.2600.2180, Fehleradresse 0x00036ed2.
Das medienspezifische Ereignis für [iexplore.exe!ws!] wird verarbeitet.
-- Security Event Log ----------------------------------------------------------
No Errors/Warnings found.
-- System Event Log ------------------------------------------------------------
Event Record #/Type47407 / Warning
Event Submitted/Written: 08/22/2007 06:42:40 PM
Event ID/Source: 7 / Print
Event Description:
Der Drucker "Canon S450" wurde fortgesetzt.
Event Record #/Type47406 / Warning
Event Submitted/Written: 08/22/2007 06:42:22 PM
Event ID/Source: 8 / Print
Event Description:
Der Drucker "Canon S450" wurde geräumt.
Event Record #/Type47405 / Warning
Event Submitted/Written: 08/22/2007 06:41:38 PM
Event ID/Source: 8 / Print
Event Description:
Der Drucker "Canon S450" wurde geräumt.
Event Record #/Type47404 / Warning
Event Submitted/Written: 08/22/2007 06:41:11 PM
Event ID/Source: 6 / Print
Event Description:
Der Drucker "Canon S450" wurde angehalten.
Event Record #/Type47401 / Error
Event Submitted/Written: 08/22/2007 04:26:25 PM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:
%%1460
-- End of Deckard's System Scanner: finished at 2007-08-22 19:26:19 ------------
Danke und Gruß Moritz |
|
23.08.2007, 13:57
| #7 |
| | TR\Rootkit.Gen Hey, mit Blacklight habe ich auch gar nichts gefunden... Irgendwelche Vorschläge zum weiteren Vorgehen? Gruß Moritz |
|
23.08.2007, 15:45
| #8 | |
| /// AVZ-Toolkit Guru | TR\Rootkit.GenZitat:
mfg Undoreal
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
27.12.2008, 16:32
| #9 |
| | TR\Rootkit.Gen Hab genau das oben geschilderte Problem. Ich komm aber überhaupt nicht weiter, da ich mir keine versteckten Order und Dateien mehr einblenden kann. Wenn ich auf einen Ordner gehe wird mir unter Organisieren zwar noch Ordner und Suchoptionen angezeigt. Es ist aber nicht mehr ausführbar. Vista oder der Trojaner hat mir diese Funktion einfach abgeschaltet. Kann mir jemand sagen wie ich das wieder freigeschaltet bekomm ? eventuell über die registry ? |
|
| Themen zu TR\Rootkit.Gen |
| adobe, antivir, avira, bho, computer, dateien, desktop, einstellungen, explorer, helper, highjackthis, hijack, hijackthis, hotkey, internet, internet explorer, messenger, microsoft, monitor, pdf, programme, software, system, tr\rootkit.gen, urlsearchhook, windows, windows xp |
Linear-Darstellung
