| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.07.2011, 18:00
| #16 | |
 |  Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden.Zitat:
Das ist der einzigste der noch drauf ist. Sonst findet Kaspersky nichts mehr. Was sollte denn noch relevant sein? Das ist der einzigste Fund. |
|
03.07.2011, 18:30
| #17 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Code:
ATTFilter :OTL
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Elf 1 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2856415&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.useDBForOrder: true
[2010.05.25 16:30:31 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\Maurice\AppData\Roaming\mozilla\Firefox\Profiles\3ctj3o27.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011.06.10 22:22:25 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.03.20 13:22:34 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Programme\Mozilla Firefox\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
O4 - HKCU..\Run: [msnmsgr] File not found
O4 - HKCU..\Run: [Pando Media Booster] File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
:Files
K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013
:Commands
[purity]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ |
|
03.07.2011, 18:41
| #18 | |
| | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden.Zitat:
|
|
03.07.2011, 18:47
| #19 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
03.07.2011, 18:59
| #20 | |
| | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden.Zitat:
|
|
03.07.2011, 20:20
| #21 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. |
|
03.07.2011, 21:18
| #22 |
| | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. Combofix Logfile: Code:
ATTFilter ComboFix 11-07-02.03 - Maurice 03.07.2011 22:05:24.1.4 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3326.2009 [GMT 2:00]
ausgeführt von:: c:\users\Maurice\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {56547CC9-C9B2-849D-8FEF-A496150D6A06}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
FW: Kaspersky Internet Security *Disabled* {6E6FFDEC-83DD-85C5-A4B0-0DA3EBDE2D7D}
SP: Kaspersky Internet Security *Disabled/Updated* {ED359D2D-EF88-8B13-B55F-9FE46E8A20BB}
SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Maurice\AppData\Local\Microsoft\Windows\Temporary Internet Files\PMH3729.tmp
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-03 bis 2011-07-03 ))))))))))))))))))))))))))))))
.
.
2011-07-03 20:12 . 2011-07-03 20:13 -------- d-----w- c:\users\Maurice\AppData\Local\temp
2011-07-03 20:12 . 2011-07-03 20:12 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-07-03 17:38 . 2011-07-03 17:38 -------- d-----w- C:\_OTL
2011-07-02 21:33 . 2011-07-02 21:33 -------- d-----w- c:\users\Maurice\AppData\Roaming\ArchiCrypt
2011-07-02 21:31 . 2011-07-02 21:31 -------- d-----w- c:\program files\ArchiCrypt
2011-07-02 14:38 . 2011-06-07 15:55 7074640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{17612D2A-9584-483A-B491-0F5AD850AD3D}\mpengine.dll
2011-07-02 00:38 . 2011-07-01 18:22 16432 ----a-w- c:\windows\system32\lsdelete.exe
2011-07-01 19:16 . 2011-07-01 19:16 -------- d-----w- c:\programdata\EA Logs
2011-07-01 18:22 . 2011-07-01 18:22 101720 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-07-01 18:18 . 2011-04-29 10:12 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2011-07-01 18:18 . 2011-07-01 18:18 -------- d-----w- c:\programdata\Lavasoft
2011-07-01 18:18 . 2011-07-01 18:18 -------- d-----w- c:\program files\Lavasoft
2011-07-01 17:46 . 2011-07-02 09:49 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2011-07-01 17:46 . 2011-07-01 17:46 -------- d-----w- c:\program files\Spybot - Search & Destroy
2011-07-01 17:30 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2011-06-30 14:41 . 2011-06-30 14:41 -------- d-----w- c:\program files\Common Files\xing shared
2011-06-30 10:11 . 2011-06-30 10:11 -------- d-----w- c:\users\Maurice\AppData\Roaming\Malwarebytes
2011-06-30 10:11 . 2011-06-30 10:11 -------- d-----w- c:\programdata\Malwarebytes
2011-06-30 10:11 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-30 10:11 . 2011-06-30 10:11 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-06-30 10:11 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-06-29 10:58 . 2011-05-24 10:44 293376 ----a-w- c:\windows\system32\umpnpmgr.dll
2011-06-29 10:57 . 2011-05-04 04:32 1401344 ----a-w- c:\windows\system32\mssrch.dll
2011-06-29 10:57 . 2011-05-04 04:34 1549312 ----a-w- c:\windows\system32\tquery.dll
2011-06-29 10:57 . 2011-05-04 04:32 337408 ----a-w- c:\windows\system32\mssph.dll
2011-06-29 10:57 . 2011-05-04 04:28 427520 ----a-w- c:\windows\system32\SearchIndexer.exe
2011-06-29 10:57 . 2011-05-04 04:28 164352 ----a-w- c:\windows\system32\SearchProtocolHost.exe
2011-06-29 10:57 . 2011-05-04 04:32 666624 ----a-w- c:\windows\system32\mssvp.dll
2011-06-29 10:57 . 2011-05-04 04:32 197120 ----a-w- c:\windows\system32\mssphtb.dll
2011-06-29 10:57 . 2011-05-04 04:32 59392 ----a-w- c:\windows\system32\msscntrs.dll
2011-06-29 10:57 . 2011-05-04 04:28 86528 ----a-w- c:\windows\system32\SearchFilterHost.exe
2011-06-21 22:36 . 2011-06-21 22:36 2106216 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_43.dll
2011-06-21 22:36 . 2011-06-21 22:36 1998168 ----a-w- c:\program files\Mozilla Firefox\d3dx9_43.dll
2011-06-16 05:41 . 2011-04-25 15:29 141104 ----a-w- c:\program files\Internet Explorer\sqmapi.dll
2011-06-16 05:41 . 2011-04-22 23:25 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2011-06-16 05:41 . 2011-04-22 23:35 1797632 ----a-w- c:\windows\system32\jscript9.dll
2011-06-16 05:04 . 2011-04-29 02:46 311808 ----a-w- c:\windows\system32\drivers\srv.sys
2011-06-16 05:04 . 2011-04-29 02:46 310272 ----a-w- c:\windows\system32\drivers\srv2.sys
2011-06-16 05:04 . 2011-04-29 02:46 114688 ----a-w- c:\windows\system32\drivers\srvnet.sys
2011-06-16 05:04 . 2011-04-25 04:31 1290624 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-06-16 05:04 . 2011-04-25 02:18 338944 ----a-w- c:\windows\system32\drivers\afd.sys
2011-06-16 05:04 . 2011-02-25 05:34 571904 ----a-w- c:\windows\system32\oleaut32.dll
2011-06-16 05:04 . 2011-05-03 04:30 741376 ----a-w- c:\windows\system32\inetcomm.dll
2011-06-16 05:04 . 2011-04-27 02:17 223744 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-06-16 05:04 . 2011-04-27 02:17 96768 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-06-16 05:04 . 2011-04-27 02:17 123904 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-06-12 21:39 . 2011-06-29 19:38 -------- d-----w- c:\program files\ICQ7.5
2011-06-10 20:22 . 2011-06-27 13:59 -------- d-----w- c:\programdata\Skype Extras
2011-06-10 20:21 . 2011-06-10 20:21 -------- d-----w- c:\program files\Common Files\Skype
2011-06-09 11:38 . 2011-06-09 11:38 -------- d-----w- c:\program files\iPod
2011-06-09 11:38 . 2011-06-09 11:40 -------- d-----w- c:\program files\iTunes
2011-06-07 10:35 . 2011-06-07 10:35 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-30 14:40 . 2010-01-18 06:30 348160 ----a-w- c:\windows\system32\msvcr71.dll
2011-06-30 14:40 . 2010-01-18 06:30 499712 ----a-w- c:\windows\system32\msvcp71.dll
2011-06-19 19:01 . 2011-05-14 10:18 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-24 17:14 . 2010-01-26 14:37 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-05-18 20:47 . 2010-04-09 01:45 952 --sha-w- c:\programdata\KGyGaAvL.sys
2011-04-22 19:14 . 2011-05-25 10:13 27008 ----a-w- c:\windows\system32\drivers\Diskdump.sys
2011-04-17 22:01 . 2011-04-17 22:01 53248 ----a-r- c:\users\Maurice\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2011-04-15 11:18 . 2011-04-15 11:18 159080 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10138.bin
2011-04-10 15:48 . 2011-04-10 15:48 86528 ----a-w- c:\windows\system32\iesysprep.dll
2011-04-10 15:48 . 2011-04-10 15:48 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2011-04-10 15:48 . 2011-04-10 15:48 63488 ----a-w- c:\windows\system32\tdc.ocx
2011-04-10 15:48 . 2011-04-10 15:48 48640 ----a-w- c:\windows\system32\mshtmler.dll
2011-04-10 15:48 . 2011-04-10 15:48 367104 ----a-w- c:\windows\system32\html.iec
2011-04-10 15:48 . 2011-04-10 15:48 161792 ----a-w- c:\windows\system32\msls31.dll
2011-04-10 15:48 . 2011-04-10 15:48 1126912 ----a-w- c:\windows\system32\wininet.dll
2011-04-10 15:48 . 2011-04-10 15:48 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2011-04-10 15:48 . 2011-04-10 15:48 74752 ----a-w- c:\windows\system32\iesetup.dll
2011-04-10 15:48 . 2011-04-10 15:48 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-04-10 15:48 . 2011-04-10 15:48 35840 ----a-w- c:\windows\system32\imgutil.dll
2011-04-10 15:48 . 2011-04-10 15:48 23552 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-10 15:48 . 2011-04-10 15:48 152064 ----a-w- c:\windows\system32\wextract.exe
2011-04-10 15:48 . 2011-04-10 15:48 150528 ----a-w- c:\windows\system32\iexpress.exe
2011-04-10 15:48 . 2011-04-10 15:48 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2011-04-10 15:48 . 2011-04-10 15:48 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-04-10 15:48 . 2011-04-10 15:48 11776 ----a-w- c:\windows\system32\mshta.exe
2011-04-10 15:48 . 2011-04-10 15:48 101888 ----a-w- c:\windows\system32\admparse.dll
2011-04-09 06:02 . 2011-05-11 20:21 3967872 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:02 . 2011-05-11 20:21 3912576 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-04-09 05:56 . 2011-05-17 09:49 123904 ----a-w- c:\windows\system32\poqexec.exe
2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2011-06-21 22:36 . 2011-05-06 11:03 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"Logitech Vid"="c:\program files\Logitech\Vid HD\Vid.exe" [2011-01-13 6129496]
"ICQ"="c:\program files\ICQ7.5\ICQ.exe" [2011-06-29 124216]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-06-03 103720]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-12-03 8120864]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-05-07 344736]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-04-06 102400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"LWS"="c:\program files\Logitech\LWS\Webcam Software\LWS.exe" [2011-03-01 190808]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"HTC Sync Loader"="c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2011-01-27 585728]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" [2011-06-30 273544]
.
c:\users\Maurice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2011-5-21 110592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~2\mzvkbd3.dll c:\progra~1\KASPER~1\KASPER~2\kloehk.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-05-26 19:50 15147400 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [2010-05-06 132184]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2011-06-28 2151640]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 HTCAND32;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [2009-10-26 25088]
R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [2010-06-23 23040]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [2011-04-29 15232]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3453712]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2011-04-29 64512]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2010-04-22 22104]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-04-07 172032]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [2010-09-16 80896]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 UMVPFSrv;UMVPFSrv;c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [2011-04-01 428640]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-04-07 5430272]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-04-07 157184]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [2009-11-02 19984]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-05-29 22712]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-03-21 362600]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-11-25 603240]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2009-12-22 30392]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 47069977
*Deregistered* - 47069977
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-04-29 11:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\users\Maurice\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MIF5BA~1\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Maurice\AppData\Roaming\Mozilla\Firefox\Profiles\3ctj3o27.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.mtb-news.de/news/2011/05/27/sonntag-29-mai-action-heroes-20h-live-bei-mtb-news-de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
SafeBoot-BsScanner
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3481837660-1793344714-466227997-1000\Software\SecuROM\License information*]
"datasecu"=hex:77,d8,cc,77,c8,e6,93,70,7e,41,91,29,70,47,aa,f2,02,f2,55,1f,89,
be,41,26,56,65,03,53,44,67,2a,d5,d9,a6,e7,b9,d6,29,4d,82,6b,a5,3d,4c,3e,e2,\
"rkeysecu"=hex:84,c4,10,36,15,35,8e,89,f4,53,45,70,5e,f4,05,88
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-07-03 22:14:51
ComboFix-quarantined-files.txt 2011-07-03 20:14
.
Vor Suchlauf: 8 Verzeichnis(se), 1.391.912.804.352 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 1.394.795.802.624 Bytes frei
.
- - End Of File - - F1C143A3219D4950E2E9A0509AD6AF6A
Kommt jetzt noch was oder war es der letzte Schritt?  |
|
04.07.2011, 08:30
| #23 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.07.2011, 13:12
| #24 | |
| | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. GMER GMER Logfile: Code:
ATTFilter GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-07-04 13:24:15
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\000000b2 WDC_WD15 rev.80.0
Running: oiq886te.exe; Driver: C:\Users\Maurice\AppData\Local\Temp\pfliifob.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwAdjustPrivilegesToken [0x8C980992]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwAlpcConnectPort [0x8C9823FA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwAlpcCreatePort [0x8C982674]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwAlpcSendWaitReceivePort [0x8C9828E6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwClose [0x8C9812AA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwConnectPort [0x8C981A52]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateEvent [0x8C981E4E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateFile [0x8C9814C8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateMutant [0x8C981D34]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateNamedPipeFile [0x8C980582]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreatePort [0x8C981C08]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateSection [0x8C98072A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateSemaphore [0x8C981F6E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateThread [0x8C980F32]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateThreadEx [0x8C981030]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateWaitablePort [0x8C981C9E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwDebugActiveProcess [0x8C983596]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwDuplicateObject [0x8C984716]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwFsControlFile [0x8C981694]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwLoadDriver [0x8C983688]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwMapViewOfSection [0x8C983D62]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenEvent [0x8C981EE4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenFile [0x8C981336]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenMutant [0x8C981DC4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenProcess [0x8C980BDC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenSection [0x8C983AFC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenSemaphore [0x8C982004]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenThread [0x8C980AD0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwQueryDirectoryObject [0x8C982B30]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwQuerySection [0x8C98409C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwQueueApcThread [0x8C98398E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwReplyPort [0x8C982368]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwReplyWaitReceivePort [0x8C98222E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwRequestWaitReplyPort [0x8C983330]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwResumeThread [0x8C9845B8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSecureConnectPort [0x8C98179C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSetContextThread [0x8C98114C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSetInformationToken [0x8C982BD2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSetSecurityObject [0x8C983790]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSetSystemInformation [0x8C9841EC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSuspendProcess [0x8C9842DE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSuspendThread [0x8C984418]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSystemDebugControl [0x8C9834BA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwTerminateProcess [0x8C980D7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwTerminateThread [0x8C980CD2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwUnmapViewOfSection [0x8C983F40]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwWriteVirtualMemory [0x8C980E68]
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKey + 13C1 83249339 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 83282D52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!KeRemoveQueueEx + 10D7 83289DCC 4 Bytes [92, 09, 98, 8C]
.text ntkrnlpa.exe!KeRemoveQueueEx + 10FF 83289DF4 8 Bytes [FA, 23, 98, 8C, 74, 26, 98, ...]
.text ntkrnlpa.exe!KeRemoveQueueEx + 1143 83289E38 4 Bytes [E6, 28, 98, 8C]
.text ntkrnlpa.exe!KeRemoveQueueEx + 116F 83289E64 4 Bytes [AA, 12, 98, 8C]
.text ntkrnlpa.exe!KeRemoveQueueEx + 1193 83289E88 4 Bytes [52, 1A, 98, 8C]
.text ...
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x9262A000, 0x2F786C, 0xE8000020]
.text C:\Windows\system32\DRIVERS\lirsgt.sys section is writeable [0xA28BB300, 0x1B7E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Real\RealPlayer\Update\realsched.exe[3092] kernel32.dll!SetUnhandledExceptionFilter 77483D01 5 Bytes [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\ACPI_HAL \Device\000000a7 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume6 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume7 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Linkage@Bind ???j?l??tunnel?ox????i???????????????????5??????s????7??????{152c3281-3409-11df-abf3-806e6f6e6963}????????:??????D?gB9??Microsoft????i????N??i???7??????????? ???i???????????????????????????????????????????V??00????N??i?????????D?????i???????????i????D??i??? ???????i???????????????????????2?????????????????????i?????7???n????N??i???7???????????????????,??????????S???????????????????????USB\DevClass_00&SubClass_00&Prot_00?USB\DevClass_00&SubClass_00?USB\DevClass_00?USB\COMPOSITE????????i??? ???????i???????????i???????????????????????????????????i??????????s.??????????????????????\??\USB#VID_09DA&PID_8090#5&27e4fbe1&0&3#{a5dcbf10-6530-11d2-901f-00c04fb951ed}?????? ???????i??????????????????????????????????? ???????i?????i???????1??L????????? ??????idg?????i???i???i??(?????????????????ad???????????7?g?????????????????t??????????? ???????i?????i?????i????????&??????????????>?????i????????????usbstor.inf:Generic.NTx86:USBSTOR_BULK:6.1.7601.17577:usb\class_08&subclass_06&prot_50??????usb\class_08&subclass_06&prot_5
Reg HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Linkage@Route ???j????????????????????????????????????????????t???????????????????????????????or??????????20??????????????????????@%systemroot%\system32\drivers\RdpRefMp.sys,-100????????????????????????????????????????SCSI Miniport????k?l?????????l???m??????????????????? ????????????????????????????$?????????p???? ???e????????????????????????V????????g????LegacyDriver?????????????????6??.1??????????????t????????????????????p???????????????????n??????????????t???????????????????????????????????t????????????????????????k?k?1??system32\DRIVERS\pacer.sys????????????????????????????????????????????????????????????????P??????????????????????????????e???-???????C??{533c5b84-ec70-11d2-9505-00c04f79deaf}\0010?????????????????Microsoft????????????????????????????e???????????k?k?1???j????????????????V?????????????STORAGE\VolumeSnapshot??=C????r?????????????{00000000-0000-0000-0000-000000000000}?B-H????X??????????????????y???k??????#{???i?i?k?????? ????????????????????????j???k???k??{71a27cdd-812a-11d0-bec7-08002be2092f}\0006?ff?????
Reg HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Linkage@Export ????????????????????????????????????????????????11?}?1????$??????.???????7??????????????????????11???????????????????? ??????????????????????????????????????????????????????????????????????????????????????f???????????????f??????????.NTx86??????Microsoft???? ???????f???????????????????????????????f??????????? ???1??|???\?l??????H?????????????????????????????? ??????? ??????? ????????????.??x???X?h??????D???????????????????????????????????? ??????? ?????Root\*6TO4MP\0044???? ?????????????????????1????????????????????00000407?????????????????????????????????????????????????????????????????????????????????????-??????D3??Root\*6TO4MP\0048???????????????????????acpi\authenticamd_-_x86??????????????n??????????????????Net???????D?????????????????????????????????????????????? ???????????????????f?1????????????????????? ?????????????????????1????????????&????????????????????/??? ?????????????????????1????????????????????? ???????????????????f?1????????????????????? ?????????????????????1????????????????????? ?????????
Reg HKLM\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Linkage@Bind ???j?k??\SystemRoot\system32\drivers\kbdhid.sys?????system32\DRIVERS\kl2.sys?????~???????????????j???????????????????????????????????????????????j?????????????????????????????????? ??????g?????????????e??un??un???????e??????t???@%systemroot%\system32\wkssvc.dll,-1005?????@%systemroot%\system32\wkssvc.dll,-1007?????????????????e????????????????????????5???~????????????R??j??????????system32\DRIVERS\lirsgt.sys?????????????????????????????????????s????????j???e?f?~???????l?l?i???????U??????????\SystemRoot\system32\drivers\mouclass.sys?????Z??j?????????n??????:??????S?g_1???????????n??11???????????????????????B??????????????????????????????????????????????Pointer Class?????????????????B??j??????????storprop.dll,AtaPropPageProvider?????j?j?????????????????????????e??????el???????????????e???????j???.???????i?k????FSFilter Virtualization?????@%SystemRoot%\system32\drivers\ndis.sys,-201?????????????????j???????????n?k?n?n?j????$??j???4???????-???????????z??????????p????????????e???????????z?z?o??????????????????11?
Reg HKLM\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Linkage@Route ???jSv???j???j??????????????? ???????i???????????i?1????????????????????? h????????????????????j????? ???????i?????j???????1????????????????????? ?i???i???i???i???i???i???i???j???j???j???j????? ???????j???????????i?1????????????????????? ???????5???????k?????j????? ???????i?????j???????1????????????????????? ???????j???????????i?1?????????????????????????h???????????5?????????????????????????j????? ???????i?????j???????1????????????????????? ???????j???????????i?1?????????????????????????i???6??????7&21d63dca&0?7?????????????j??????8??j????????h?????mshdc.inf_x86_neutral_f64b9c35a3a5be81???????j?j?j?j?j?j?j????<??j????????h??????????&???????j???????h????b??j?????????n?????????????????????????????????????????f???????????????????????????t???j???e??????????????????????????????e???????????????????????????nettun.inf?00}??@%systemroot%\system32\DRIVERS\RDPCDD.sys,-100???????????????????????????e?g?n???j???????????????????????????????????????6?.17??????????????????????????????t?????X??????1???t?????????????????????
Reg HKLM\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Linkage@Export ????????Net?1}????????????????????m???????t?????????????????????*6to4mp? "???????????????t????,??????????????????????????????k???????k???????k??? ?????????????????????????????????e??????`??????k???c??? ???????|???????????d?:??????????%?&????????????????????B??MSAFD NetBIOS [\Device\NetBT_Tcpip6_{1EA6CF0A-FBE0-4912-993F-2E0D29FF0724}] SEQPACKET 3??r??MSAFD NetBIOS [\Device\NetBT_Tcpip6_{12F85669-41C3-43A6-9BD1-2D408BCE84F9}] DATAGRAM 70??A???????????-????????m??????????????????????????????????B??????????????Microsoft???????????????????????????????????????l???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????MSAFD NetBIOS [\Device\NetBT_Tcpip6_{0460A44E-BF9B-4390-B541-6C61E6B57A13}] DATAGRAM 91?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????AC???????????????????0???????e?? ?@
Reg HKLM\SYSTEM\ControlSet002\services\LanmanServer\Linkage@Bind ???f?????????????:???????????????f??*6to4mp??D??????or???j?j?????g?gMi??RasPppoe??????N?????????????????{8ECC055D-047F-11D1-A537-0000F8753ED1}?_10???f???s?s?s???????j????N??????????????????????i??????????????????04??PCI\VEN_197B&DEV_2380&REV_00?PCI\VEN_197B&DEV_2380?PCI\VEN_197B&CC_0C0010?PCI\VEN_197B&CC_0C00?PCI\VEN_197B?PCI\CC_0C0010?PCI\CC_0C00????????g?gMi???????????R?????sPC???f?f?f?f?f?f?f???????????e?e?e?e?e?e?e?e?e?f?f??Microsoft???????????.NT??????????f???????6???f???e??tunnel?CCA????|??i???????3???f?fr ??TDI??????????????4???4??????el???????k??????????????????HD???????f???v??se???????k????N??h????????D?????.NT??????????????????????????j?j?????g?ys????????????s?????sol???????????t?????s%\?????????????????s????????????? ??????? ???????4???f???????e??????????????????????????????????LegacyDriver?????????????f???j?j?f???????f??KSecDD?060???????????%??????????LegacyDriver?????f???????g???????????????????????????????????????????????f?f?i?i?f?i?:???/?l6???PCI\VEN_1022&DEV_1204&SUBSYS_00000000&REV_00?PCI\VE
Reg HKLM\SYSTEM\ControlSet002\services\LanmanServer\Linkage@Route ???j?j????????????R??j????????h???????0??p???n?????eta??PnP Filter?????????????????g??????????????????????b??j?????????n????????????????????????@%SystemRoot%\system32\drivers\fltmgr.sys,-10000????????????????p???System32\drivers\hwpolicy.sys????j???j???j?????k?l??1.2.0.125????????q????T??j????????h????????j?j????????????????????????f????????????e????System32\Drivers\ksecdd.sys???????:??j????????h??????????j???0??e2???????????n??????????p???Fs_Rec?00????????j???????????j????????????????????????????????????????????????8??j????????h??????????????????d???????????????????????????5???F??????d6???? ??5??????p?????????????????????????b??j?????????n????.NT?ms??oem3.inf?????j??????????????????????????g???system32\DRIVERS\nwifi.sys???????????????????????v??????????????????????? ???f???\?????\To??????????%SystemRoot%\System32\srvsvc.dll??????L??p??????k???????????????t???text????System32\Drivers\ksecpkg.sys?????????????5??s????????????????????????j??????p????????????d?????????V2A???????j????????????????????????????m??k?
Reg HKLM\SYSTEM\ControlSet002\services\LanmanServer\Linkage@Export ???j?j????????????????????????f????????????e????System32\Drivers\ksecdd.sys???????:??j????????h??????????j???0??e2???????????n??????????p???Fs_Rec?00????????j???????????j????????????????????????????????????????????????8??j????????h??????????????????d???????????????????????????5???F??????d6???? ??5??????p?????????????????????????b??j?????????n????.NT?ms??oem3.inf?????j??????????????????????????g???system32\DRIVERS\nwifi.sys???????????????????????v??????????????????????? ???f???\?????\To??????????%SystemRoot%\System32\srvsvc.dll??????L??p??????k???????????????t???text????System32\Drivers\ksecpkg.sys?????????????5??s????????????????????????j??????p????????????d?????????V2A???????j????????????????????????????m??k??????????????????????????HIDClass????????????????????????????????????p???Cryptography?????????j???????e????<??j????????h??????j??????????tunnel???????j???j???????????????????j?????j?n??????????????????????Maurice??????????h??@%SystemRoot%\system32\drivers\fileinfo.sys,-100?????????j???-??e5????X????????
Reg HKLM\SYSTEM\ControlSet002\services\LanmanWorkstation\Linkage@Bind ???j?n??????????????????????Maurice??????????h??@%SystemRoot%\system32\drivers\fileinfo.sys,-100?????????j???-??e5????X??????????e???s?z?s???????j???0???2?????? ??????g????????z.????P??j????????h?????@%SystemRoot%\system32\drivers\nsiproxy.sys,-2???????????????????????n??%m??%m??????????????RPCSS?????????8????????????e?????????j????<??j????????h??????????????????p???l???k??????????PNP_TDI??????????g???????????????????????k??????????Extended Base???????C0??????r???????????????Controls the underlying video driver stacks to provide fully-featured display capabilities.?????Keyboard Class???????????k???????????????????????????j??????????????????system32\drivers\nsiproxy.sys??????????????????????????????????????g?????????????????e???????j???9????????????????????????????Z??j?????????e????input.inf????f?h?j?g?t??\SystemRoot\system32\drivers\HDAudBus.sys??????j????system32\DRIVERS\kl1.sys?????????????????????????????????????s??rpcss???????????????????t???7616269602?8?<?????j?????u?u?u?????|?9?|????????t???????p????l?
Reg HKLM\SYSTEM\ControlSet002\services\LanmanWorkstation\Linkage@Route ???j????system32\DRIVERS\kl1.sys?????????????????????????????????????s??rpcss???????????????????t???7616269602?8?<?????j?????u?u?u?????|?9?|????????t???????p????l?x?}?}?}???????????m???p??????????????????????????????????????????t??????????????g?????????????s??*PNP09FF????sh???????k???????????????????h??????????????????????????????????????@%SystemRoot%\system32\drivers\mountmgr.sys,-101?????j?j?j?j?j?j?j??system32\drivers\ndis.sys????????????l??????????system32\drivers\MSPCLOCK.sys???s???Typ??????????????????n???????????????m?m?????????????????????s??????????????????t????j????????????????4??j?????????????????????????l?m???m?m?????????????+???+??NDIS Wrapper????\SystemRoot\system32\drivers\luafv.sys??????????????????????????????????????????????Microsoft????k?k????????????base????????????????t???t???????????????t????????????????????????f?f?j?j?j?j?j??????????????{0??????????????????????????????????????@%SystemRoot%\system32\drivers\fvevol.sys,-100????????2??j????????h??????????????????????????????.?????????????
Reg HKLM\SYSTEM\ControlSet002\services\LanmanWorkstation\Linkage@Export ???j?????u?u?u?????|?9?|????????t???????p????l?x?}?}?}???????????m???p??????????????????????????????????????????t??????????????g?????????????s??*PNP09FF????sh???????k???????????????????h??????????????????????????????????????@%SystemRoot%\system32\drivers\mountmgr.sys,-101?????j?j?j?j?j?j?j??system32\drivers\ndis.sys????????????l??????????system32\drivers\MSPCLOCK.sys???s???Typ??????????????????n???????????????m?m?????????????????????s??????????????????t????j????????????????4??j?????????????????????????l?m???m?m?????????????+???+??NDIS Wrapper????\SystemRoot\system32\drivers\luafv.sys??????????????????????????????????????????????Microsoft????k?k????????????base????????????????t???t???????????????t????????????????????????f?f?j?j?j?j?j??????????????{0??????????????????????????????????????@%SystemRoot%\system32\drivers\fvevol.sys,-100????????2??j????????h??????????????????????????????.?????????????j?k??\SystemRoot\system32\drivers\kbdhid.sys?????system32\DRIVERS\kl2.sys?????~???????????????j?????????????????????
---- EOF - GMER 1.0.15 ----
OSAM OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 13:37:37 on 04.07.2011 OS: Windows 7 Home Premium Edition Service Pack 1 (Build 7601), 32-bit Default Browser: Mozilla Corporation Firefox 5.0 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [AppInit DLLs] -----( HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows )----- "AppInit_DLLs" - "Kaspersky Lab ZAO" - C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll "AppInit_DLLs" - "Kaspersky Lab ZAO" - C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll [Boot Execute] -----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )----- "BootExecute" - ? - C:\Windows\system32\lsdelete.exe (File found, but it contains no detailed information) [Common] -----( %SystemRoot%\Tasks )----- "Ad-Aware Update (Weekly).job" - "Lavasoft Limited " - C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl "PhysX.cpl" - "NVIDIA Corporation" - C:\Windows\system32\PhysX.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Pando" - "Pando Networks" - C:\Program Files\Pando Networks\Media Booster\PMB.cpl "QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "atksgt" (atksgt) - ? - C:\Windows\System32\DRIVERS\atksgt.sys (File found, but it contains no detailed information) "catchme" (catchme) - ? - C:\Users\Maurice\AppData\Local\Temp\catchme.sys (File not found) "EagleNT" (EagleNT) - ? - C:\Windows\system32\drivers\EagleNT.sys (File not found) "Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys (File found, but it contains no detailed information) "lirsgt" (lirsgt) - ? - C:\Windows\System32\DRIVERS\lirsgt.sys (File found, but it contains no detailed information) "MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\Windows\system32\drivers\mbam.sys "Profos" (Profos) - ? - C:\Program Files\BullGuard Ltd\BullGuard\antirootkit\profos.sys (File not found) [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll {03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll {872A9397-E0D6-4e28-B64D-52B8D0A7EA35} "DisplayCplExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MIF5BA~1\Office12\ONFILTER.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\program files\real\realplayer\rpshell.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll {52B87208-9CCF-42C9-B88E-069281105805} "Trojan Remover Shell Extension" - ? - (File not found | COM-object registry key not found) {2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe {00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe {00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll {00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll {00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll {00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe {00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll {06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "eBay - Der weltweite Online-Marktplatz" - ? - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (HTTP value) -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "&Windows Live Toolbar" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {4248FE82-7FCB-46AC-B270-339F08212110} "&Virtuelle Tastatur" - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MIF5BA~1\Office12\ONBttnIE.dll "eBay - Der weltweite Online-Marktplatz" - ? - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (HTTP value) "ICQ7.5" - "ICQ, LLC." - C:\Program Files\ICQ7.5\ICQ.exe {5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll {CCF151D8-D089-449F-A5A4-D9909053F20F} "Li&nks untersuchen" - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MIF5BA~1\Office12\REFIEBAR.DLL -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "&Windows Live Toolbar" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {E33CF602-D945-461A-83F0-819F76A199F8} "FilterBHO Class" - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} "IEVkbdBHO Class" - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll {3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} "Search Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID-Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} "Windows Live Toolbar Helper" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll [LSA Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )----- "Security Packages" - "Microsoft Corporation" - C:\Windows\system32\livessp.dll [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Shortcut exists | File exists) "desktop.ini" - ? - C:\Users\Maurice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )----- "Adobe Gamma Loader.lnk" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "ICQ" - "ICQ, LLC." - "C:\Program Files\ICQ7.5\ICQ.exe" silent loginmode=4 "Logitech Vid" - "Logitech Inc." - "C:\Program Files\Logitech\Vid HD\Vid.exe" -bootmode "SpybotSD TeaTimer" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe -----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )----- "StartupPrograms" - ? - rdpclip (File not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" "AppleSyncNotifier" - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe "AVP" - "Kaspersky Lab ZAO" - "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" "CLMLServer" - "CyberLink" - "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe" "HTC Sync Loader" - ? - "C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" -startup "iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe" "LWS" - "Logitech Inc." - C:\Program Files\Logitech\LWS\Webcam Software\LWS.exe -hide "Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray "QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime "StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun "TkBellExe" - "RealNetworks, Inc." - "C:\Program Files\Real\RealPlayer\update\realsched.exe" -osboot [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll "Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe "FABS - Helping agent for MAGIX media database" (Fabs) - "MAGIX AG" - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe "Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe "Internet Pass-Through Service" (PassThru Service) - ? - C:\Program Files\HTC\Internet Pass-Through\PassThruSvr.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe "Kaspersky Anti-Virus Service" (AVP) - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe "Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft Limited" - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe "MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE "nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\Windows\system32\GameMon.des "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE "PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe (File found, but it contains no detailed information) "Protexis Licensing V2" (PSI_SVC_2) - "Protexis Inc." - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe "SBSD Security Center Service" (SBSDWSCService) - "Safer Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe "SeaPort" (SeaPort) - "Microsoft Corporation" - C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe "Windows Live ID Sign-in Assistant" (wlidsvc) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll "WindowsLive Local NSP" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL "WindowsLive NSP" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE] MBR Zitat:
Warum lagt mein Rechner jetzt nach den durchläufen von den drei Programmen? Das hat er vorher nicht..-.- Und ich habe die drei Logs so gepostet, weil das in einem Quote Fenster zu unübersichtlich wäre. Nehme ich mal an. Geändert von Maurice (04.07.2011 um 13:54 Uhr) |
|
04.07.2011, 14:00
| #25 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden.Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.07.2011, 14:57
| #26 |
| | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. Ja, habe ihn schon neu gestartet. Als der Pc automtisch neu gestartet hat nachdem der MBRCheck durchgelaufen ist, ist er nicht richtig hochgefahren also hat Windows nicht gestartet...bei deiner Anweisung steht ja auch das das nur ein paar Sekunden dauern soll. Was es aber nicht tat. lg |
|
04.07.2011, 15:38
| #27 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden.Zitat:
 Hast du nur das Log gemacht oder irgendwelche Fixaktionen?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.07.2011, 17:48
| #28 |
| | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. Eigentlich nur das Log so wie beschrieben. Eine Frage an der Seite, würde der Trojaner auf eine externe Festplatte übergehen wenn ich eine anschließe? Dann würde ich wenn wir zu keinem Ergebniss kommen sollten meinen Rechner formatieren, aber wie das geht wüsste ich jetzt auch nicht 100% -.-. |
|
04.07.2011, 19:40
| #29 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. Du willst jetzt so kurz vorm Abschluss doch alles plätten und neumachen?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.07.2011, 20:13
| #30 |
| | Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. Nein, will ich nicht^^ das war nur eine Frage. Ich kann ja nicht wissen das das bald fertig ist  habe ja keine Ahnung Also kommen wir zum eigentlich Thema zurück. Wie geht es denn jetzt weiter? Ich bin froh wenn ich das Teil wieder los bin oO Geändert von Maurice (04.07.2011 um 20:41 Uhr) |
|
| Themen zu Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden. |
| bho, bonjour, converter, error, excel.exe, firefox, flash player, frage, hijack, hijackthis, home, iexplore.exe, install.exe, kaspersky, lanmanworkstation, logfile, microsoft office word, mozilla, mp3, office 2007, pando media booster, realtek, registry, scan, searchplugins, security, security update, senden, shell32.dll, software, start menu, tastatur, teamspeak, trojaner, tunnel, webcheck, windows, wrapper |
Linear-Darstellung
