|
Plagegeister aller Art und deren Bekämpfung: TR/Rootkit.Gen an mehreren Stellen gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.09.2011, 11:28 | #1 |
| TR/Rootkit.Gen an mehreren Stellen gefunden Hallo zusammen, seit einiger Zeit schlägt Avira mehrmals täglich an und meldet den Fund von "TR/Rootkit.Gen" in mehreren Dateien. Die Avira-Funktion "Entfernen" brachte keinen Erfolg. Verschieben in Quarantäne hilft auch nicht, die Warnungen kommen erneut. Ansonsten ist der Rechner öfter mal langsam und der Browser friert manchmal für ein paar Sekunden ein, bevor es weitergeht. Ich habe die Scans entsprechend der Anleitung durchgeführt, es gab aber folgende Abweichungen:
Das OTL.txt Logfile ist hier eingefügt, als Anhang poste ich Gmer.txt und das Avira-Logfile gezippt. Es wäre super, wenn mir jemand weiterhelfen könnte. Code:
ATTFilter OTL logfile created on: 7/09/2011 6:36:32 PM - Run 6 OTL by OldTimer - Version 3.2.27.0 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000C09 | Country: Australien | Language: ENA | Date Format: d/MM/yyyy 1015.17 Mb Total Physical Memory | 474.94 Mb Available Physical Memory | 46.78% Memory free 2.39 Gb Paging File | 1.79 Gb Available in Paging File | 75.15% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74.51 Gb Total Space | 6.51 Gb Free Space | 8.74% Space Free | Partition Type: NTFS Drive D: | 74.51 Gb Total Space | 74.42 Gb Free Space | 99.87% Space Free | Partition Type: NTFS Computer Name: ***-NETBOOK | User Name: ***| Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011/09/07 18:35:23 | 000,581,120 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe PRC - [2011/07/01 08:07:35 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011/04/28 10:10:41 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011/04/08 12:59:52 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2010/12/04 19:02:39 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010/02/19 01:40:26 | 002,012,912 | ---- | M] (SUPERAntiSpyware.com) -- C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe PRC - [2010/02/02 09:10:14 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin PRC - [2010/02/02 09:10:10 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe PRC - [2010/01/15 07:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2010/01/08 08:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe PRC - [2009/12/09 23:25:16 | 000,615,720 | ---- | M] (Juniper Networks) -- C:\Programme\Juniper Networks\Common Files\dsNcService.exe PRC - [2009/04/16 00:53:46 | 000,253,952 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe PRC - [2009/01/23 23:49:54 | 000,416,768 | ---- | M] (ELANTECH Devices Corp.) -- C:\Programme\Elantech\ETDCtrl.exe PRC - [2008/12/18 03:59:50 | 000,622,592 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsAcpiSvr.exe PRC - [2008/12/04 21:38:06 | 000,114,688 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsTray.exe PRC - [2008/11/14 22:55:56 | 000,376,832 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe PRC - [2008/09/02 15:26:16 | 001,448,576 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe PRC - [2008/09/02 15:26:16 | 000,604,776 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe PRC - [2008/05/21 09:56:24 | 000,094,208 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsEPCMon.exe PRC - [2008/04/14 22:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2011/09/07 14:07:13 | 000,117,760 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL MOD - [2010/03/14 03:47:10 | 000,052,224 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll MOD - [2010/02/13 11:46:36 | 000,970,752 | ---- | M] () -- C:\Programme\OpenOffice.org 3\program\libxml2.dll MOD - [2010/01/28 22:57:53 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2008/09/02 15:25:26 | 002,854,912 | ---- | M] () -- C:\WINDOWS\system32\btwicons.dll MOD - [2008/09/02 15:23:22 | 000,040,960 | ---- | M] () -- C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - [2011/07/01 08:07:35 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011/04/28 10:10:41 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010/01/08 08:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater) SRV - [2009/12/09 23:25:16 | 000,615,720 | ---- | M] (Juniper Networks) [Auto | Running] -- C:\Programme\Juniper Networks\Common Files\dsNcService.exe -- (dsNcService) SRV - [2008/11/04 10:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2006/10/26 22:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - [2011/07/01 08:07:37 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011/07/01 08:07:37 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010/02/17 19:25:50 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV) DRV - [2010/02/17 19:15:58 | 000,066,632 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL) DRV - [2010/02/17 19:15:58 | 000,012,872 | R--- | M] ( SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | On_Demand | Running] -- C:\Programme\SUPERAntiSpyware\SASENUM.SYS -- (SASENUM) DRV - [2009/12/09 23:10:40 | 000,026,624 | ---- | M] (Juniper Networks) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dsNcAdpt.sys -- (dsNcAdpt) DRV - [2009/05/11 19:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009/02/13 20:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009/02/13 18:49:30 | 005,029,376 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2009/02/07 02:08:42 | 000,055,152 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\fssfltr_tdi.sys -- (fssfltr) DRV - [2008/09/24 03:15:00 | 000,038,400 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\l1e51x86.sys -- (L1e) DRV - [2008/09/19 03:44:38 | 001,326,528 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416) DRV - [2008/08/20 00:16:36 | 000,991,656 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL) DRV - [2008/08/20 00:16:28 | 000,047,272 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB) DRV - [2008/08/05 22:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2008/07/24 19:37:10 | 000,156,816 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS) DRV - [2008/05/30 13:46:12 | 000,534,568 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio) DRV - [2008/04/14 22:00:00 | 000,030,848 | ---- | M] () [File_System | System | Running] -- C:\WINDOWS\System32\drivers\npfs.sys -- (Npfs) DRV - [2008/04/08 23:59:28 | 000,010,752 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASUSACPI.SYS -- (AsusACPI) DRV - [2008/03/10 20:18:42 | 000,057,384 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwhid.sys -- (btwhid) DRV - [2008/02/12 01:07:00 | 000,018,816 | ---- | M] (Bytemobile, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\tcpipBM.sys -- (tcpipBM) DRV - [2008/02/04 19:57:44 | 000,037,160 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver) DRV - [2006/01/04 17:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-mobile.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local ========== FireFox ========== FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=672991" FF - prefs.js..browser.search.selectedEngine: "Google Australia" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.com.au/ig" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.7 FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6906 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:4.0.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8064.0206: C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Programme\Veetle\plugins\npVeetle.dll (Veetle Inc) FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Programme\Veetle\Player\npvlc.dll (Veetle Inc) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/09/04 22:35:12 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/05/22 08:05:09 | 000,000,000 | ---D | M] [2009/10/20 20:06:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2011/07/03 07:43:13 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vwtv1q7q.default\extensions [2010/06/29 15:35:21 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vwtv1q7q.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011/08/31 18:41:50 | 000,002,486 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vwtv1q7q.default\searchplugins\google-australia.xml [2011/09/01 07:15:19 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011/08/20 07:18:01 | 000,000,000 | ---D | M] (Click to call with Skype) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [2011/05/22 07:51:51 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2010/07/13 15:31:21 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010/10/31 01:58:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011/09/01 07:15:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\VWTV1Q7Q.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI [2010/02/13 11:43:55 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2011/09/04 22:35:12 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011/05/04 04:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2011/05/22 08:04:57 | 000,001,538 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazon-en-GB.xml [2011/05/22 08:04:57 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011/05/22 08:04:57 | 000,000,947 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\chambers-en-GB.xml [2011/05/22 08:04:57 | 000,001,180 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-en-GB.xml [2011/05/22 08:04:57 | 000,001,135 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-en-GB.xml O1 HOSTS File: ([2010/12/12 17:25:54 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Dealio Toolbar) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Programme\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll (Spigot, Inc.) O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O3 - HKLM\..\Toolbar: (Dealio Toolbar) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Programme\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll (Spigot, Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [DataCardMonitor] C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe (Huawei Technologies Co., Ltd.) O4 - HKLM..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe (ELANTECH Devices Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SuperHybridEngine.lnk = C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.) O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256029039531 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://juniper.net/dana-cached/sc/JuniperSetupClient.cab (JuniperSetupClientControl Class) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A5DC8413-B8AF-4468-95E3-CB42E7FDC7EB}: DhcpNameServer = 10.0.0.138 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009/04/13 20:56:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - Unable to obtain root file information for disk D:\ O33 - MountPoints2\{673d5fda-90af-11df-bd6a-00261837d1d0}\Shell - "" = AutoRun O33 - MountPoints2\{673d5fda-90af-11df-bd6a-00261837d1d0}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{673d5fda-90af-11df-bd6a-00261837d1d0}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{6e0b9da0-055c-11e0-be1b-0025d31b8196}\Shell - "" = AutoRun O33 - MountPoints2\{6e0b9da0-055c-11e0-be1b-0025d31b8196}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{6e0b9da0-055c-11e0-be1b-0025d31b8196}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{7d6b56f7-903a-11df-bd69-002243dfbde0}\Shell - "" = AutoRun O33 - MountPoints2\{7d6b56f7-903a-11df-bd69-002243dfbde0}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{7d6b56f7-903a-11df-bd69-002243dfbde0}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{b143375a-90e9-11df-bd6b-002243dfbde0}\Shell - "" = AutoRun O33 - MountPoints2\{b143375a-90e9-11df-bd6b-002243dfbde0}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b143375a-90e9-11df-bd6b-002243dfbde0}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{c5b862a2-90ec-11df-bd6c-e4905d073d04}\Shell - "" = AutoRun O33 - MountPoints2\{c5b862a2-90ec-11df-bd6c-e4905d073d04}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{c5b862a2-90ec-11df-bd6c-e4905d073d04}\Shell\AutoRun\command - "" = E:\AutoRun.exe O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447) ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^HotSpot Manager.lnk - - File not found MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011/09/07 18:35:20 | 000,581,120 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2011/09/07 16:50:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood [2011/09/07 13:58:17 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2011/09/07 13:55:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner [2011/09/07 13:54:00 | 003,480,352 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\***\Desktop\ccsetup310.exe [2011/09/01 10:22:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump [2011/09/01 10:16:59 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2011/09/01 07:41:57 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2011/08/20 07:17:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype [2011/08/14 14:56:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Ebay [2011/08/09 12:40:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AMS Software [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011/09/07 18:39:01 | 000,000,880 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011/09/07 18:35:23 | 000,581,120 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2011/09/07 18:33:58 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe [2011/09/07 15:39:01 | 000,000,876 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011/09/07 13:54:38 | 003,480,352 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\***\Desktop\ccsetup310.exe [2011/09/07 08:00:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011/09/06 20:30:55 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\defogger_reenable [2011/09/04 20:27:52 | 000,607,041 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\hav.odt [2011/09/04 20:16:28 | 000,165,029 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Untitled 1.pdf [2011/09/04 16:44:35 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk [2011/09/04 15:50:13 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011/09/01 20:51:58 | 000,459,244 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011/09/01 20:51:58 | 000,441,546 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011/09/01 20:51:58 | 000,084,748 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011/09/01 20:51:58 | 000,071,482 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011/08/29 20:10:52 | 000,008,479 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Centrelink.odt [2011/08/28 22:50:11 | 000,002,241 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2011/08/09 12:48:49 | 000,452,535 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Collage 1.jpg [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011/09/07 18:33:55 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe [2011/09/06 20:30:55 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\***\defogger_reenable [2011/09/04 20:27:49 | 000,607,041 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\hav.odt [2011/09/04 20:16:25 | 000,165,029 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Untitled 1.pdf [2011/08/29 20:09:56 | 000,008,479 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Centrelink.odt [2011/08/20 07:17:51 | 000,002,241 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2011/08/09 12:48:49 | 000,452,535 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Collage 1.jpg [2010/03/13 21:01:50 | 000,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe [2010/03/13 21:01:50 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2010/03/13 21:01:50 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2010/03/13 21:01:50 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe [2010/03/13 21:01:50 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2010/03/13 08:13:00 | 000,017,920 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009/10/20 20:47:12 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2009/10/20 20:06:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2009/10/20 07:02:22 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2009/04/16 01:15:32 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2009/04/13 21:48:52 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2009/04/13 21:47:51 | 000,206,512 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2009/04/13 21:44:00 | 000,014,713 | ---- | C] () -- C:\WINDOWS\System32\RaCoInst.dat [2009/04/13 21:42:32 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\SamSfPa.dat [2009/04/13 21:42:32 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\drivers\rtkhdaud.dat [2009/04/13 21:41:56 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll [2009/04/13 20:59:43 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2009/04/13 20:54:50 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2009/04/13 20:41:33 | 000,005,312 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2009/04/13 20:41:29 | 000,459,244 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2009/04/13 20:41:29 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2009/04/13 20:41:29 | 000,084,748 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2009/04/13 20:41:29 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2009/04/13 20:41:23 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2009/04/13 20:41:22 | 000,441,546 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2009/04/13 20:41:22 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2009/04/13 20:41:22 | 000,071,482 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2009/04/13 20:41:22 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2009/04/13 20:41:21 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2009/04/13 20:41:21 | 000,030,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\npfs.sys [2009/04/13 20:41:21 | 000,004,562 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2009/04/13 20:41:21 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2009/04/13 20:41:19 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2009/04/13 20:41:19 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2009/04/13 20:41:17 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2009/04/13 20:41:14 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2008/11/15 02:12:56 | 000,012,208 | ---- | C] () -- C:\WINDOWS\AsTrayLang.ini [2008/09/02 15:25:26 | 002,854,912 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll [2008/07/31 03:31:52 | 000,021,864 | ---- | C] () -- C:\WINDOWS\AsAcpiSvrLang.ini [2001/11/14 21:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll ========== LOP Check ========== [2011/01/06 10:30:09 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2009/11/28 03:23:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON [2010/12/10 05:37:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Juniper Networks [2009/04/13 21:44:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wireless LAN Card [2011/08/09 12:40:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AMS Software [2010/07/24 19:59:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Dealio [2010/12/10 05:39:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Juniper Networks [2010/02/13 11:49:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2010/03/13 21:03:41 | 000,000,000 | RHSD | M] -- C:\cmdcons [2011/09/01 20:52:20 | 000,000,000 | ---D | M] -- C:\Config.Msi [2009/10/20 07:02:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2009/04/13 21:40:42 | 000,000,000 | ---D | M] -- C:\Intel [2009/04/13 22:06:37 | 000,000,000 | R--D | M] -- C:\MSOCache [2011/08/09 14:14:49 | 000,000,000 | ---D | M] -- C:\Programme [2010/03/14 01:36:44 | 000,000,000 | ---D | M] -- C:\Qoobox [2010/03/14 08:36:48 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2010/03/12 06:22:03 | 000,000,000 | ---D | M] -- C:\rsit [2010/02/13 10:17:13 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011/09/07 16:50:14 | 000,000,000 | ---D | M] -- C:\WINDOWS < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < %systemroot%\system32\*.manifest /3 > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < MD5 for: EXPLORER.EXE > [2008/04/14 22:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ERDNT\cache\explorer.exe [2008/04/14 22:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008/04/14 22:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe < MD5 for: REGEDIT.EXE > [2008/04/14 22:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\I386\REGEDIT.EXE [2008/04/14 22:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008/04/14 22:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe < MD5 for: USERINIT.EXE > [2008/04/14 22:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ERDNT\cache\userinit.exe [2008/04/14 22:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008/04/14 22:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2008/04/14 22:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ERDNT\cache\winlogon.exe [2008/04/14 22:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe [2008/04/14 22:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-09-01 10:52:30 < > < End of report > Geändert von puntaara (07.09.2011 um 11:47 Uhr) Grund: Ergänzung |
07.09.2011, 14:11 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Rootkit.Gen an mehreren Stellen gefunden Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________ |
08.09.2011, 10:35 | #3 |
| TR/Rootkit.Gen an mehreren Stellen gefunden Danke für deine Antwort. Habe den Scan mit Malwarebytes durchgeführt mit folgendem Ergebnis:
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7674 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 8/09/2011 4:10:22 PM mbam-log-2011-09-08 (16-10-22).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 227552 Laufzeit: 1 Stunde(n), 12 Minute(n), 53 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\DEALIO TOOLBAR\FF\COMPONENTS\DEALIOTOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: DEALIOTOOLBARFF.DLL -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\***\lokale einstellungen\temp\dealiokit1-stub-0.exe (PUP.Dealio.TB) -> Quarantined and deleted successfully. c:\programme\dealio toolbar\FF\components\dealiotoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7674 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 8/09/2011 5:24:45 PM mbam-log-2011-09-08 (17-24-45).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 227548 Laufzeit: 1 Stunde(n), 9 Minute(n), 22 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Thursday, 8 September 2011 17:49 Es wird nach 3344966 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ***-NETBOOK Versionsinformationen: BUILD.DAT : 10.2.0.700 35934 Bytes 21.07.2011 16:49:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 30.06.2011 22:07:35 AVSCAN.DLL : 10.0.5.0 57192 Bytes 30.06.2011 22:07:35 LUKE.DLL : 10.3.0.5 45416 Bytes 30.06.2011 22:07:37 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 30.06.2011 22:07:37 AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 12:44:22 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:25:24 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 12:46:48 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 00:10:39 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 22:17:18 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 09:07:47 VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 22:11:27 VBASE007.VDF : 7.11.13.61 2048 Bytes 16.08.2011 22:11:28 VBASE008.VDF : 7.11.13.62 2048 Bytes 16.08.2011 22:11:28 VBASE009.VDF : 7.11.13.63 2048 Bytes 16.08.2011 22:11:28 VBASE010.VDF : 7.11.13.64 2048 Bytes 16.08.2011 22:11:28 VBASE011.VDF : 7.11.13.65 2048 Bytes 16.08.2011 22:11:28 VBASE012.VDF : 7.11.13.66 2048 Bytes 16.08.2011 22:11:28 VBASE013.VDF : 7.11.13.95 166400 Bytes 17.08.2011 21:40:31 VBASE014.VDF : 7.11.13.125 209920 Bytes 18.08.2011 21:40:32 VBASE015.VDF : 7.11.13.157 184832 Bytes 22.08.2011 20:38:12 VBASE016.VDF : 7.11.13.201 128000 Bytes 24.08.2011 20:38:13 VBASE017.VDF : 7.11.13.234 160768 Bytes 25.08.2011 20:38:15 VBASE018.VDF : 7.11.14.16 141312 Bytes 30.08.2011 08:39:20 VBASE019.VDF : 7.11.14.48 133120 Bytes 31.08.2011 00:15:48 VBASE020.VDF : 7.11.14.78 156160 Bytes 02.09.2011 05:52:46 VBASE021.VDF : 7.11.14.109 126976 Bytes 06.09.2011 07:26:34 VBASE022.VDF : 7.11.14.110 2048 Bytes 06.09.2011 07:26:35 VBASE023.VDF : 7.11.14.111 2048 Bytes 06.09.2011 07:26:35 VBASE024.VDF : 7.11.14.112 2048 Bytes 06.09.2011 07:26:36 VBASE025.VDF : 7.11.14.113 2048 Bytes 06.09.2011 07:26:36 VBASE026.VDF : 7.11.14.114 2048 Bytes 06.09.2011 07:26:36 VBASE027.VDF : 7.11.14.115 2048 Bytes 06.09.2011 07:26:37 VBASE028.VDF : 7.11.14.116 2048 Bytes 06.09.2011 07:26:37 VBASE029.VDF : 7.11.14.117 2048 Bytes 06.09.2011 07:26:37 VBASE030.VDF : 7.11.14.118 2048 Bytes 06.09.2011 07:26:38 VBASE031.VDF : 7.11.14.134 118784 Bytes 07.09.2011 07:26:41 Engineversion : 8.2.6.54 AEVDF.DLL : 8.1.2.1 106868 Bytes 04.12.2010 09:02:38 AESCRIPT.DLL : 8.1.3.76 1626490 Bytes 28.08.2011 20:38:39 AESCN.DLL : 8.1.7.2 127349 Bytes 04.12.2010 09:02:38 AESBX.DLL : 8.2.1.34 323957 Bytes 03.06.2011 22:22:24 AERDL.DLL : 8.1.9.13 639349 Bytes 16.07.2011 12:44:12 AEPACK.DLL : 8.2.10.10 684407 Bytes 02.09.2011 13:33:21 AEOFFICE.DLL : 8.1.2.13 201083 Bytes 29.07.2011 23:42:43 AEHEUR.DLL : 8.1.2.164 3654007 Bytes 02.09.2011 13:33:15 AEHELP.DLL : 8.1.17.7 254327 Bytes 29.07.2011 23:42:33 AEGEN.DLL : 8.1.5.9 401780 Bytes 28.08.2011 20:38:29 AEEMU.DLL : 8.1.3.0 393589 Bytes 04.12.2010 09:02:37 AECORE.DLL : 8.1.23.0 196983 Bytes 28.08.2011 20:38:25 AEBB.DLL : 8.1.1.0 53618 Bytes 04.12.2010 09:02:37 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.3.2 44904 Bytes 30.06.2011 22:07:35 AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 22:13:16 AVARKT.DLL : 10.0.26.1 255336 Bytes 30.06.2011 22:07:34 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 30.06.2011 22:07:34 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 30.06.2011 22:07:33 RCTEXT.DLL : 10.0.64.0 98664 Bytes 30.06.2011 22:07:33 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Thursday, 8 September 2011 17:49 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'BTSTAC~1.EXE' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'SuperHybridEngine.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxext.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'DataCardMonitor.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'AsEPCMon.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'AsAcpiSvr.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'AsTray.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'ETDCtrl.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'dsNcService.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'ApplicationUpdater.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '458' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP454\A0075474.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP455\A0075547.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP455\A0075549.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP455\A0075573.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP455\A0075579.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen C:\WINDOWS\system32\drivers\npfs.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: C:\WINDOWS\system32\drivers\npfs.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '42c52da0.qua' verschoben! C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP455\A0075579.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a0403c7.qua' verschoben! C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP455\A0075573.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '085b592f.qua' verschoben! C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP455\A0075549.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6e6c16ed.qua' verschoben! C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP455\A0075547.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2be83bdc.qua' verschoben! C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP454\A0075474.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54f309bd.qua' verschoben! Ende des Suchlaufs: Thursday, 8 September 2011 19:20 Benötigte Zeit: 1:25:41 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7055 Verzeichnisse wurden überprüft 387064 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 387058 Dateien ohne Befall 10901 Archive wurden durchsucht 0 Warnungen 6 Hinweise 350598 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
08.09.2011, 12:46 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Rootkit.Gen an mehreren Stellen gefunden Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Führe auch bitte ESET aus, danach sehen wir weiter. ESET Online Scanner
n.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.09.2011, 06:50 | #5 |
| TR/Rootkit.Gen an mehreren Stellen gefunden Habe nun den Eset Online Scan ausgeführt mit folgendem Ergebnis: Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok ESETSmartInstaller@High as downloader log: all ok esets_scanner_update returned -1 esets_gle=53251 # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=124173cf1581544d980dfa41e386096e # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-09 03:01:29 # local_time=2011-09-09 01:01:29 (+1000, AUS Eastern Normalzeit) # country="Australia" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 47187596 47187596 0 0 # compatibility_mode=1797 16775141 100 94 0 80175285 29441 0 # compatibility_mode=8192 67108863 100 0 9938 9938 0 0 # scanned=67291 # found=9 # cleaned=0 # scan_time=5002 C:\Dokumente und Einstellungen\***\Desktop\Downloads\fsSetup129.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Desktop\Downloads\Ultrasurf.zip a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\ICReinstall\cnet_CollageMaker_exe.exe a variant of Win32/InstallCore.C application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\Temporäres Verzeichnis 1 für Ultrasurf.zip\u1016.exe a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\WidgiHelper.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\WINDOWS\system32\drivers\npfs.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I ${Memory} probably a variant of Win32/Adware.Toolbar.Dealio application 00000000000000000000000000000000 I |
09.09.2011, 11:24 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Rootkit.Gen an mehreren Stellen gefunden Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ --> TR/Rootkit.Gen an mehreren Stellen gefunden |
10.09.2011, 11:44 | #7 |
| TR/Rootkit.Gen an mehreren Stellen gefunden Habe das Tool angewendet und den Trojaner entfernen können. Hier das Logfile: Code:
ATTFilter 2011/09/10 09:03:30.0281 3628 TDSS rootkit removing tool 2.5.20.0 Sep 7 2011 16:44:34 2011/09/10 09:03:31.0015 3628 ================================================================================ 2011/09/10 09:03:31.0015 3628 SystemInfo: 2011/09/10 09:03:31.0015 3628 2011/09/10 09:03:31.0015 3628 OS Version: 5.1.2600 ServicePack: 3.0 2011/09/10 09:03:31.0015 3628 Product type: Workstation 2011/09/10 09:03:31.0015 3628 ComputerName: ***-NETBOOK 2011/09/10 09:03:31.0015 3628 UserName: *** 2011/09/10 09:03:31.0015 3628 Windows directory: C:\WINDOWS 2011/09/10 09:03:31.0015 3628 System windows directory: C:\WINDOWS 2011/09/10 09:03:31.0015 3628 Processor architecture: Intel x86 2011/09/10 09:03:31.0015 3628 Number of processors: 2 2011/09/10 09:03:31.0015 3628 Page size: 0x1000 2011/09/10 09:03:31.0015 3628 Boot type: Normal boot 2011/09/10 09:03:31.0015 3628 ================================================================================ 2011/09/10 09:03:32.0734 3628 Initialize success 2011/09/10 09:03:37.0109 2132 ================================================================================ 2011/09/10 09:03:37.0109 2132 Scan started 2011/09/10 09:03:37.0109 2132 Mode: Manual; 2011/09/10 09:03:37.0109 2132 ================================================================================ 2011/09/10 09:03:39.0171 2132 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys 2011/09/10 09:03:39.0218 2132 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys 2011/09/10 09:03:39.0328 2132 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys 2011/09/10 09:03:39.0437 2132 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys 2011/09/10 09:03:39.0734 2132 Ambfilt (f6af59d6eee5e1c304f7f73706ad11d8) C:\WINDOWS\system32\drivers\Ambfilt.sys 2011/09/10 09:03:40.0171 2132 AR5416 (7d53e5646ba23fd51296f7ef8979a000) C:\WINDOWS\system32\DRIVERS\athw.sys 2011/09/10 09:03:40.0406 2132 AsusACPI (12415a4b61ded200fe9932b47a35fa42) C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys 2011/09/10 09:03:40.0500 2132 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys 2011/09/10 09:03:40.0578 2132 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys 2011/09/10 09:03:40.0687 2132 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys 2011/09/10 09:03:40.0750 2132 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys 2011/09/10 09:03:40.0875 2132 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys 2011/09/10 09:03:40.0937 2132 avgntflt (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys 2011/09/10 09:03:40.0984 2132 avipbb (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys 2011/09/10 09:03:41.0062 2132 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys 2011/09/10 09:03:41.0140 2132 btaudio (4b43dfe1c1fbb305a1dc5504ef9bb34e) C:\WINDOWS\system32\drivers\btaudio.sys 2011/09/10 09:03:41.0234 2132 BTDriver (2f9f111d31aa3fbbe5781d829a4524e6) C:\WINDOWS\system32\DRIVERS\btport.sys 2011/09/10 09:03:41.0296 2132 BTKRNL (70455baffc078b6152d1e52376296467) C:\WINDOWS\system32\DRIVERS\btkrnl.sys 2011/09/10 09:03:41.0390 2132 BTWDNDIS (485020a1e1fc5c51a800ca69c618d881) C:\WINDOWS\system32\DRIVERS\btwdndis.sys 2011/09/10 09:03:41.0437 2132 btwhid (949eca9c56f657c06d3166d51f3226c7) C:\WINDOWS\system32\DRIVERS\btwhid.sys 2011/09/10 09:03:41.0468 2132 BTWUSB (2cfc2bd8785f82a42fcad83de1fa5a36) C:\WINDOWS\system32\Drivers\btwusb.sys 2011/09/10 09:03:41.0546 2132 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys 2011/09/10 09:03:41.0593 2132 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys 2011/09/10 09:03:41.0656 2132 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys 2011/09/10 09:03:41.0703 2132 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys 2011/09/10 09:03:41.0750 2132 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys 2011/09/10 09:03:41.0828 2132 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys 2011/09/10 09:03:41.0890 2132 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys 2011/09/10 09:03:42.0015 2132 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys 2011/09/10 09:03:42.0093 2132 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys 2011/09/10 09:03:42.0203 2132 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys 2011/09/10 09:03:42.0281 2132 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys 2011/09/10 09:03:42.0343 2132 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys 2011/09/10 09:03:42.0468 2132 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys 2011/09/10 09:03:42.0546 2132 dsNcAdpt (b2c3f71b86e25c3df78339ddb40a7562) C:\WINDOWS\system32\DRIVERS\dsNcAdpt.sys 2011/09/10 09:03:42.0687 2132 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys 2011/09/10 09:03:42.0750 2132 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys 2011/09/10 09:03:42.0796 2132 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys 2011/09/10 09:03:42.0828 2132 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys 2011/09/10 09:03:42.0890 2132 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys 2011/09/10 09:03:42.0953 2132 fssfltr (960f5e5e4e1f720465311ac68a99c2df) C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys 2011/09/10 09:03:42.0984 2132 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys 2011/09/10 09:03:43.0046 2132 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys 2011/09/10 09:03:43.0093 2132 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys 2011/09/10 09:03:43.0171 2132 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys 2011/09/10 09:03:43.0234 2132 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys 2011/09/10 09:03:43.0328 2132 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys 2011/09/10 09:03:43.0515 2132 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys 2011/09/10 09:03:43.0718 2132 ialm (0f68e2ec713f132ffb19e45415b09679) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys 2011/09/10 09:03:43.0968 2132 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys 2011/09/10 09:03:44.0203 2132 IntcAzAudAddService (816a4f17dffdeeb01896fe05991838e0) C:\WINDOWS\system32\drivers\RtkHDAud.sys 2011/09/10 09:03:44.0515 2132 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys 2011/09/10 09:03:44.0578 2132 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys 2011/09/10 09:03:44.0656 2132 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys 2011/09/10 09:03:44.0703 2132 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys 2011/09/10 09:03:44.0765 2132 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys 2011/09/10 09:03:44.0828 2132 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys 2011/09/10 09:03:44.0906 2132 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys 2011/09/10 09:03:44.0984 2132 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys 2011/09/10 09:03:45.0031 2132 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys 2011/09/10 09:03:45.0109 2132 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys 2011/09/10 09:03:45.0171 2132 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys 2011/09/10 09:03:45.0250 2132 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys 2011/09/10 09:03:45.0312 2132 Ktp (85b6d85c044e3df77e92b5a7b265008f) C:\WINDOWS\system32\DRIVERS\ETD.sys 2011/09/10 09:03:45.0390 2132 L1e (fa46f5d09edf93e0c71fe6500fe3f4ae) C:\WINDOWS\system32\DRIVERS\l1e51x86.sys 2011/09/10 09:03:45.0531 2132 MBAMProtector (eca00eed9ab95489007b0ef84c7149de) C:\WINDOWS\system32\drivers\mbam.sys 2011/09/10 09:03:45.0578 2132 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys 2011/09/10 09:03:45.0625 2132 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys 2011/09/10 09:03:45.0718 2132 Monfilt (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\Monfilt.sys 2011/09/10 09:03:45.0890 2132 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys 2011/09/10 09:03:45.0968 2132 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys 2011/09/10 09:03:46.0015 2132 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys 2011/09/10 09:03:46.0125 2132 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys 2011/09/10 09:03:46.0187 2132 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 2011/09/10 09:03:46.0281 2132 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys 2011/09/10 09:03:46.0343 2132 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys 2011/09/10 09:03:46.0390 2132 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys 2011/09/10 09:03:46.0515 2132 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys 2011/09/10 09:03:46.0578 2132 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys 2011/09/10 09:03:46.0625 2132 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys 2011/09/10 09:03:46.0718 2132 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys 2011/09/10 09:03:46.0765 2132 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys 2011/09/10 09:03:46.0843 2132 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys 2011/09/10 09:03:46.0890 2132 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys 2011/09/10 09:03:46.0968 2132 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys 2011/09/10 09:03:47.0031 2132 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys 2011/09/10 09:03:47.0093 2132 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys 2011/09/10 09:03:47.0171 2132 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys 2011/09/10 09:03:47.0234 2132 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys 2011/09/10 09:03:47.0312 2132 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys 2011/09/10 09:03:47.0453 2132 Npfs (b47b4b994f1e5ec18e137119a1b713bc) C:\WINDOWS\system32\drivers\Npfs.sys 2011/09/10 09:03:47.0781 2132 Suspicious file (NoAccess): C:\WINDOWS\system32\drivers\Npfs.sys. md5: b47b4b994f1e5ec18e137119a1b713bc 2011/09/10 09:03:47.0781 2132 Npfs - detected Rootkit.Win32.ZAccess.c (0) 2011/09/10 09:03:47.0875 2132 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys 2011/09/10 09:03:47.0968 2132 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys 2011/09/10 09:03:48.0015 2132 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys 2011/09/10 09:03:48.0062 2132 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys 2011/09/10 09:03:48.0140 2132 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys 2011/09/10 09:03:48.0203 2132 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys 2011/09/10 09:03:48.0406 2132 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys 2011/09/10 09:03:48.0640 2132 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys 2011/09/10 09:03:48.0734 2132 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys 2011/09/10 09:03:48.0765 2132 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys 2011/09/10 09:03:49.0000 2132 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys 2011/09/10 09:03:49.0046 2132 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys 2011/09/10 09:03:49.0093 2132 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys 2011/09/10 09:03:49.0296 2132 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys 2011/09/10 09:03:49.0343 2132 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 2011/09/10 09:03:49.0421 2132 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys 2011/09/10 09:03:49.0484 2132 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys 2011/09/10 09:03:49.0562 2132 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys 2011/09/10 09:03:49.0609 2132 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys 2011/09/10 09:03:49.0671 2132 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys 2011/09/10 09:03:49.0734 2132 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys 2011/09/10 09:03:49.0843 2132 SASDIFSV (a3281aec37e0720a2bc28034c2df2a56) C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS 2011/09/10 09:03:49.0890 2132 SASENUM (7ce61c25c159f50f9eaf6d77fc83fa35) C:\Programme\SUPERAntiSpyware\SASENUM.SYS 2011/09/10 09:03:49.0968 2132 SASKUTIL (67d2688756dd304af655349baad82bff) C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS 2011/09/10 09:03:50.0109 2132 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys 2011/09/10 09:03:50.0187 2132 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys 2011/09/10 09:03:50.0265 2132 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys 2011/09/10 09:03:50.0343 2132 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys 2011/09/10 09:03:50.0437 2132 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys 2011/09/10 09:03:50.0484 2132 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys 2011/09/10 09:03:50.0562 2132 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys 2011/09/10 09:03:50.0656 2132 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys 2011/09/10 09:03:50.0718 2132 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys 2011/09/10 09:03:50.0765 2132 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys 2011/09/10 09:03:50.0796 2132 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys 2011/09/10 09:03:50.0953 2132 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys 2011/09/10 09:03:51.0015 2132 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys 2011/09/10 09:03:51.0078 2132 tcpipBM (9b05aa8089f4ea1bc31208ede33969f3) C:\WINDOWS\system32\drivers\tcpipBM.sys 2011/09/10 09:03:51.0140 2132 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys 2011/09/10 09:03:51.0265 2132 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys 2011/09/10 09:03:51.0312 2132 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys 2011/09/10 09:03:51.0421 2132 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys 2011/09/10 09:03:51.0500 2132 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys 2011/09/10 09:03:51.0578 2132 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys 2011/09/10 09:03:51.0640 2132 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys 2011/09/10 09:03:51.0671 2132 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys 2011/09/10 09:03:51.0734 2132 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys 2011/09/10 09:03:51.0781 2132 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 2011/09/10 09:03:51.0812 2132 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys 2011/09/10 09:03:51.0875 2132 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys 2011/09/10 09:03:51.0937 2132 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys 2011/09/10 09:03:52.0015 2132 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys 2011/09/10 09:03:52.0078 2132 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys 2011/09/10 09:03:52.0171 2132 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys 2011/09/10 09:03:52.0296 2132 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys 2011/09/10 09:03:52.0359 2132 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS 2011/09/10 09:03:52.0421 2132 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys 2011/09/10 09:03:52.0609 2132 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0 2011/09/10 09:03:52.0765 2132 Boot (0x1200) (9f1385bcc9e0b53ced86f1ec071b9410) \Device\Harddisk0\DR0\Partition0 2011/09/10 09:03:52.0796 2132 Boot (0x1200) (00c901b45b5eea9b4b9193230b870836) \Device\Harddisk0\DR0\Partition1 2011/09/10 09:03:52.0812 2132 ================================================================================ 2011/09/10 09:03:52.0812 2132 Scan finished 2011/09/10 09:03:52.0812 2132 ================================================================================ 2011/09/10 09:03:52.0828 2156 Detected object count: 1 2011/09/10 09:03:52.0828 2156 Actual detected object count: 1 2011/09/10 09:04:10.0890 2156 Npfs (b47b4b994f1e5ec18e137119a1b713bc) C:\WINDOWS\system32\drivers\Npfs.sys 2011/09/10 09:04:10.0906 2156 Suspicious file (NoAccess): C:\WINDOWS\system32\drivers\Npfs.sys. md5: b47b4b994f1e5ec18e137119a1b713bc 2011/09/10 09:04:11.0921 2156 Backup copy found, using it.. 2011/09/10 09:04:12.0015 2156 C:\WINDOWS\system32\drivers\Npfs.sys - will be cured after reboot 2011/09/10 09:04:12.0015 2156 Rootkit.Win32.ZAccess.c(Npfs) - User select action: Cure Avira: kein Fund Malwarebytes: kein Fund ESET: Logfile anbei (das Logfile des 2. Scans ist an das Logfile des 1. Scans angehängt): Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok ESETSmartInstaller@High as downloader log: all ok esets_scanner_update returned -1 esets_gle=53251 # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=124173cf1581544d980dfa41e386096e # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-09 03:01:29 # local_time=2011-09-09 01:01:29 (+1000, AUS Eastern Normalzeit) # country="Australia" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 47187596 47187596 0 0 # compatibility_mode=1797 16775141 100 94 0 80175285 29441 0 # compatibility_mode=8192 67108863 100 0 9938 9938 0 0 # scanned=67291 # found=9 # cleaned=0 # scan_time=5002 C:\Dokumente und Einstellungen\***\Desktop\Downloads\fsSetup129.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Desktop\Downloads\Ultrasurf.zip a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\ICReinstall\cnet_CollageMaker_exe.exe a variant of Win32/InstallCore.C application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\Temporäres Verzeichnis 1 für Ultrasurf.zip\u1016.exe a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\WidgiHelper.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\WINDOWS\system32\drivers\npfs.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I ${Memory} probably a variant of Win32/Adware.Toolbar.Dealio application 00000000000000000000000000000000 I ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=124173cf1581544d980dfa41e386096e # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-10 04:49:11 # local_time=2011-09-10 02:49:11 (+1000, AUS Eastern Normalzeit) # country="Australia" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 47280627 47280627 0 0 # compatibility_mode=1797 16775141 100 94 18825 80268316 0 0 # compatibility_mode=8192 67108863 100 0 102969 102969 0 0 # scanned=67789 # found=8 # cleaned=0 # scan_time=4832 C:\Dokumente und Einstellungen\***\Desktop\Downloads\fsSetup129.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Desktop\Downloads\Ultrasurf.zip a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\ICReinstall\cnet_CollageMaker_exe.exe a variant of Win32/InstallCore.C application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\Temporäres Verzeichnis 1 für Ultrasurf.zip\u1016.exe a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\WidgiHelper.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I ${Memory} probably a variant of Win32/Adware.Toolbar.Dealio application 00000000000000000000000000000000 I I Geändert von puntaara (10.09.2011 um 11:52 Uhr) |
11.09.2011, 13:09 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Rootkit.Gen an mehreren Stellen gefunden TDSS-Killer hat was gefunden und hoffentlich entfernt, führ den bitte nochmal aus.
__________________ Logfiles bitte immer in CODE-Tags posten |
12.09.2011, 15:17 | #9 |
| TR/Rootkit.Gen an mehreren Stellen gefunden Ja, der TDSS-Killer hat den Trojaner entfernt. Habe ihn danach nochmal ausgeführt und er hat nichts mehr gefunden. Die Scans mit Avira und Malwarebytes (beide ohne Funde) sowie ESET habe ich anschließend gemacht. |
12.09.2011, 15:52 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Rootkit.Gen an mehreren Stellen gefunden Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
14.09.2011, 11:02 | #11 |
| TR/Rootkit.Gen an mehreren Stellen gefunden Habe Combofix ausgeführt, das Logfile befindet sich (aufgrund der Länge) im Anhang. |
14.09.2011, 12:32 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Rootkit.Gen an mehreren Stellen gefunden Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ Logfiles bitte immer in CODE-Tags posten |
18.09.2011, 04:51 | #13 |
| TR/Rootkit.Gen an mehreren Stellen gefunden Habe die Scans ausgeführt mit den folgenden Ergebnissen: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-09-17 01:15:09 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160310AS rev.0303 Running: sdxkzff1.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\awxdiaoc.sys ---- System - GMER 1.0.15 ---- SSDT F7C9D49C ZwClose SSDT F7C9D456 ZwCreateKey SSDT F7C9D4A6 ZwCreateSection SSDT F7C9D44C ZwCreateThread SSDT F7C9D45B ZwDeleteKey SSDT F7C9D465 ZwDeleteValueKey SSDT F7C9D497 ZwDuplicateObject SSDT F7C9D46A ZwLoadKey SSDT F7C9D438 ZwOpenProcess SSDT F7C9D43D ZwOpenThread SSDT F7C9D474 ZwReplaceKey SSDT F7C9D46F ZwRestoreKey SSDT F7C9D4AB ZwSetContextThread SSDT F7C9D460 ZwSetValueKey SSDT F7C9D447 ZwTerminateProcess ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Tcp tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.) ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 312576708 Disk \Device\Harddisk0\DR0 PE file @ sector 312576730 ---- EOF - GMER 1.0.15 ---- Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 12:52:13 on 18.09.2011 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "Bytemobile Kernel Network Provider" (tcpipBM) - "Bytemobile, Inc." - C:\WINDOWS\system32\drivers\tcpipBM.sys "catchme" (catchme) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "FssFltr" (fssfltr) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\fssfltr_tdi.sys "Huawei DataCard USB Modem and USB Serial" (hwdatacard) - ? - C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys (File not found) "Huawei DataCard USB PNP Device" (hwusbdev) - ? - C:\WINDOWS\System32\DRIVERS\ewusbdev.sys (File not found) "HUAWEI USB-NDIS miniport" (ewusbnet) - ? - C:\WINDOWS\System32\DRIVERS\ewusbnet.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "SASDIFSV" (SASDIFSV) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS "SASENUM" (SASENUM) - " SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASENUM.SYS "SASKUTIL" (SASKUTIL) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll {03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" - "SuperAdBlocker.com" - C:\Programme\SUPERAntiSpyware\SASSEH.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\BTNEIG~1.DLL {0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\Office12\ONFILTER.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe {00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe {00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll {00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll {00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll {00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe {00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll {06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab {F27237D7-93C8-44C2-AC6E-D6057B9A918F} "JuniperSetupClientControl Class" - "Juniper Networks" - C:\WINDOWS\Downloaded Program Files\JuniperSetupClient.ocx / https://juniper.net/dana-cached/sc/JuniperSetupClient.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Click to call with Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll {5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll {5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "SuperHybridEngine.lnk" - "ASUSTeK Computer Inc." - C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (Shortcut exists | File exists) "BTTray.lnk" - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "AsusACPIServer" - "ASUSTeK Computer Inc." - C:\Programme\EeePC\ACPI\AsAcpiSvr.exe "AsusEPCMonitor" - "ASUSTeK Computer Inc." - C:\Programme\EeePC\ACPI\AsEPCMon.exe "AsusTray" - "ASUSTeK Computer Inc." - C:\Programme\EeePC\ACPI\AsTray.exe "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "DataCardMonitor" - "Huawei Technologies Co., Ltd." - C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll "EPSON Stylus DX6000 Series 32MonitorBE" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\E_FLBBIE.DLL "Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "Application Updater" (Application Updater) - "Spigot, Inc." - C:\Programme\Application Updater\ApplicationUpdater.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Google Update Service (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Google Updater Service" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Juniper Network Connect Service" (dsNcService) - "Juniper Networks" - C:\Programme\Juniper Networks\Common Files\dsNcService.exe "MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Live Family Safety" (fsssvc) - "Microsoft Corporation" - C:\Programme\Windows Live\Family Safety\fsssvc.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\Desktop )----- "SCRNSAVE.EXE" - "Microsoft Corporation" - C:\WINDOWS\WLXPGSS.SCR -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "!SASWinLogon" - "SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASWINLO.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code:
ATTFilter aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software Run date: 2011-09-18 12:54:22 ----------------------------- 12:54:22.046 OS Version: Windows 5.1.2600 Service Pack 3 12:54:22.046 Number of processors: 2 586 0x1C02 12:54:22.062 ComputerName: ***-NETBOOK UserName: *** 12:54:22.796 Initialize success 13:07:16.000 AVAST engine defs: 11091701 13:09:03.109 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 13:09:03.109 Disk 0 Vendor: ST9160310AS 0303 Size: 152627MB BusType: 3 13:09:04.421 Disk 0 MBR read successfully 13:09:04.421 Disk 0 MBR scan 13:09:04.500 Disk 0 Windows XP default MBR code 13:09:04.500 Disk 0 scanning sectors +312576705 13:09:04.546 Disk 0 malicious Win32:MBRoot code @ sector 312576708 ! 13:09:04.546 Disk 0 PE file @ sector 312576730 ! 13:09:04.609 Disk 0 scanning C:\WINDOWS\system32\drivers 13:09:15.500 Service scanning 13:09:16.437 Modules scanning 13:09:21.765 Disk 0 trace - called modules: 13:09:21.765 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 13:09:21.781 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8650fab8] 13:09:21.781 3 CLASSPNP.SYS[f75c8fd7] -> nt!IofCallDriver -> \Device\0000006d[0x865639e8] 13:09:21.781 5 ACPI.sys[f745e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8651b940] 13:09:22.703 AVAST engine scan C:\WINDOWS 13:09:31.437 AVAST engine scan C:\WINDOWS\system32 13:11:46.828 AVAST engine scan C:\WINDOWS\system32\drivers 13:12:02.640 AVAST engine scan C:\Dokumente und Einstellungen\*** 13:34:46.921 AVAST engine scan C:\Dokumente und Einstellungen\All Users 13:37:02.656 Scan finished successfully 13:39:23.531 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat" 13:39:23.546 The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt" |
19.09.2011, 11:15 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Rootkit.Gen an mehreren Stellen gefunden Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
23.09.2011, 10:29 | #15 |
| TR/Rootkit.Gen an mehreren Stellen gefunden Habe die Scans ausgeführt mit folgenden Ergebnissen: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 7753 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 20/09/2011 8:52:45 PM mbam-log-2011-09-20 (20-52-45).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 224261 Laufzeit: 1 Stunde(n), 13 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 09/21/2011 at 09:22 PM Application Version : 4.34.1000 Core Rules Database Version : 7715 Trace Rules Database Version: 5527 Scan type : Complete Scan Total Scan Time : 01:34:53 Memory items scanned : 494 Memory threats detected : 0 Registry items scanned : 5264 Registry threats detected : 0 File items scanned : 64192 File threats detected : 0 Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok ESETSmartInstaller@High as downloader log: all ok esets_scanner_update returned -1 esets_gle=53251 # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=124173cf1581544d980dfa41e386096e # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-09 03:01:29 # local_time=2011-09-09 01:01:29 (+1000, AUS Eastern Normalzeit) # country="Australia" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 47187596 47187596 0 0 # compatibility_mode=1797 16775141 100 94 0 80175285 29441 0 # compatibility_mode=8192 67108863 100 0 9938 9938 0 0 # scanned=67291 # found=9 # cleaned=0 # scan_time=5002 C:\Dokumente und Einstellungen\***\Desktop\Downloads\fsSetup129.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Desktop\Downloads\Ultrasurf.zip a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\ICReinstall\cnet_CollageMaker_exe.exe a variant of Win32/InstallCore.C application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\Temporäres Verzeichnis 1 für Ultrasurf.zip\u1016.exe a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\WidgiHelper.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\WINDOWS\system32\drivers\npfs.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I ${Memory} probably a variant of Win32/Adware.Toolbar.Dealio application 00000000000000000000000000000000 I ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=124173cf1581544d980dfa41e386096e # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-10 04:49:11 # local_time=2011-09-10 02:49:11 (+1000, AUS Eastern Normalzeit) # country="Australia" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 47280627 47280627 0 0 # compatibility_mode=1797 16775141 100 94 18825 80268316 0 0 # compatibility_mode=8192 67108863 100 0 102969 102969 0 0 # scanned=67789 # found=8 # cleaned=0 # scan_time=4832 C:\Dokumente und Einstellungen\***\Desktop\Downloads\fsSetup129.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Desktop\Downloads\Ultrasurf.zip a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\ICReinstall\cnet_CollageMaker_exe.exe a variant of Win32/InstallCore.C application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\Temporäres Verzeichnis 1 für Ultrasurf.zip\u1016.exe a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\WidgiHelper.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I ${Memory} probably a variant of Win32/Adware.Toolbar.Dealio application 00000000000000000000000000000000 I ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=124173cf1581544d980dfa41e386096e # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-22 01:23:42 # local_time=2011-09-22 11:23:42 (+1000, AUS Eastern Normalzeit) # country="Australia" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 48304861 48304861 0 0 # compatibility_mode=1797 16775141 100 94 183597 81292550 0 0 # compatibility_mode=8192 67108863 100 0 1127203 1127203 0 0 # scanned=64370 # found=7 # cleaned=0 # scan_time=5070 C:\Dokumente und Einstellungen\***\Desktop\Downloads\fsSetup129.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\***\Desktop\Downloads\Ultrasurf.zip a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Dealio Toolbar\WidgiHelper.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\Qoobox\Quarantine\C\Programme\Dealio Toolbar\IE\4.0.2\deALiotoolbarie.dll.vir Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I C:\System Volume Information\_restore{690AA8F2-8E9F-4FBF-9A23-92A5EADC48C2}\RP1\A0000050.dll Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I ${Memory} probably a variant of Win32/Adware.Toolbar.Dealio application 00000000000000000000000000000000 I |
Themen zu TR/Rootkit.Gen an mehreren Stellen gefunden |
0x00000001, anleitung, anschluss, avira, beendet, browser, c:\windows\system32\rundll32.exe, ccsetup, code, einfach, entfernen, folge, friert, fund, gelöscht, google earth, hallo zusammen, hotspot, langsam, logfile, neustart, nicht mehr, nichts, nodrives, otl.txt, plug-in, programme, quarantäne, rechner, security update, sekunden, suche, super, t-mobile, tr/rootkit.gen, verschieben, version=1.0 |