| | ![EXP/Pidief.hdi [EXPLOIT] Problem - Standard](images/icons/icon1.gif) EXP/Pidief.hdi [EXPLOIT] Problem
 Hallo erstmal. Ich habe gestern eine Antivir Meldung bekommen, dass ein Virus EXP/Pidief.hdi [EXPLOIT] entdeckt wurde. Zu weitere Handlungen kam es nicht. Das Fenster war 2 sek später wieder verschwunden. Dann ging es los. Firefox schliesst sich. Ordner auf dem Desktop verschwinden, Desktop wird schwarz, ca 25 Fehlermeldungen poppen in kurzer Zeit auf. Dann öffnet sich automatisch ein Fenster "System Restore" - scanned irgendwas, findet 14 Fehler die behoben werden sollen. Da aber nur 5 der 14 gefixed werden, öffnet sich ein weiteres Fenster mit der Aufforderung 89$ zu zahlen um die Vollversion zu erhalten. Hier habe ich ausgeschaltet und neugestartet. Im Prinzip ist alles verschwunden. Das Startmenu / Programme ist leer. Desktop weiterhin schwarz und immer wieder kommen die Fehlermeldungen und dieser System Restore scan.
Da unter "normalen" Hochfahren nix mehr geht, habe ich nun im abgesicherten Modus mit Netzwerktreibern hochgefahren.
Defogger gestartet
OTL durchlaufen lassen Zitat:
OTL logfile created on: 10.11.2011 12:42:19 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
895,23 Mb Total Physical Memory | 574,30 Mb Available Physical Memory | 64,15% Memory free
2,12 Gb Paging File | 1,91 Gb Available in Paging File | 89,95% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 21,25 Gb Free Space | 28,52% Space Free | Partition Type: NTFS
Computer Name: MARKUS-33DAF62D | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Processes (SafeList) ==========
PRC - [2011.11.10 12:40:13 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\Eigene Dateien\Downloads\OTL.exe
PRC - [2011.10.04 15:47:17 | 000,924,632 | -H-- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2007.06.13 14:21:45 | 001,036,288 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
========== Modules (No Company Name) ==========
MOD - [2011.10.04 15:47:16 | 001,833,944 | -H-- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
MOD - [2011.09.27 13:52:21 | 006,277,280 | -H-- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
========== Win32 Services (SafeList) ==========
SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2011.07.28 11:02:48 | 000,269,480 | -H-- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.05.01 08:15:59 | 000,136,360 | -H-- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.02.18 17:30:32 | 002,435,592 | -H-- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.03.29 07:53:22 | 000,068,000 | -H-- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2010.01.03 17:07:48 | 000,246,520 | -H-- | M] () [Disabled | Stopped] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2008.02.01 04:02:26 | 000,065,536 | -H-- | M] (PostgreSQL Global Development Group) [Disabled | Stopped] -- C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe -- (pgsql-8.3)
SRV - [2005.11.14 01:06:04 | 000,069,632 | -H-- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)
========== Driver Services (SafeList) ==========
DRV - [2011.07.28 11:02:50 | 000,138,192 | -H-- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.28 11:02:50 | 000,066,616 | -H-- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.05.13 10:02:32 | 000,532,224 | -H-- | M] (Check Point Software Technologies LTD) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2009.05.11 10:12:49 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 11:35:01 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2007.11.27 19:06:42 | 004,630,016 | -H-- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.08.06 14:29:46 | 000,094,720 | -H-- | M] (Guillemot Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\camfilt2.sys -- (camfilt2)
DRV - [2007.07.17 17:07:42 | 010,371,072 | -H-- | M] (Sonix Co. Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\snpstd3.sys -- (SNPSTD3)
DRV - [2007.06.15 09:49:30 | 000,019,840 | RH-- | M] (Generic) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\StMp3Rec.sys -- (StMp3Rec)
DRV - [2006.09.05 20:09:26 | 000,086,432 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se59obex.sys -- (se59obex)
DRV - [2006.09.05 20:08:40 | 000,088,624 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se59mgmt.sys -- (se59mgmt) Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM)
DRV - [2006.09.05 20:07:52 | 000,097,088 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se59mdm.sys -- (se59mdm)
DRV - [2006.09.05 20:07:48 | 000,009,360 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se59mdfl.sys -- (se59mdfl)
DRV - [2006.09.05 20:07:00 | 000,061,536 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se59bus.sys -- (se59bus) Sony Ericsson Device 089 driver (WDM)
DRV - [2006.09.05 20:06:28 | 000,018,704 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se59nd5.sys -- (se59nd5) Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS)
DRV - [2006.09.05 20:06:22 | 000,090,800 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se59unic.sys -- (se59unic) Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM)
DRV - [2006.09.05 20:00:54 | 000,086,432 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se58obex.sys -- (se58obex)
DRV - [2006.09.05 20:00:06 | 000,088,624 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se58mgmt.sys -- (se58mgmt) Sony Ericsson Device 088 USB WMC Device Management Drivers (WDM)
DRV - [2006.09.05 19:59:18 | 000,097,088 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se58mdm.sys -- (se58mdm)
DRV - [2006.09.05 19:59:14 | 000,009,360 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se58mdfl.sys -- (se58mdfl)
DRV - [2006.09.05 19:58:26 | 000,061,536 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se58bus.sys -- (se58bus) Sony Ericsson Device 088 driver (WDM)
DRV - [2006.09.05 19:57:54 | 000,018,704 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se58nd5.sys -- (se58nd5) Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (NDIS)
DRV - [2006.09.05 19:57:48 | 000,090,800 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\se58unic.sys -- (se58unic) Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (WDM)
DRV - [2006.07.11 14:38:30 | 000,020,480 | RH-- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.07.11 14:38:28 | 000,057,856 | RH-- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2001.08.17 13:51:32 | 000,018,688 | -H-- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)
DRV - [1999.09.10 12:06:00 | 000,025,244 | -H-- | M] (Adaptec) [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (Aspi32)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant =
IE - HKLM\..\URLSearchHook: - No CLSID value found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
========== FireFox ==========
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.50917.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.04 15:47:18 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.09.20 06:39:32 | 000,000,000 | -H-D | M]
[2011.11.10 12:26:15 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\Anwendungsdaten\Mozilla\Extensions
[2011.09.08 09:35:20 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.15 11:23:59 | 000,000,000 | -H-D | M] (Toolbar fuer eBay) -- C:\Programme\Mozilla Firefox\extensions\{000E148C-F7A7-445A-9044-93BF6CE09ECB}
[2008.12.01 11:41:29 | 000,000,000 | -H-D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2009.09.02 10:04:22 | 000,000,000 | -H-D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.10.04 15:47:18 | 000,134,104 | -H-- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.10.04 15:47:13 | 000,001,392 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.04 15:47:13 | 000,002,252 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.04 15:47:13 | 000,001,153 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.10.04 15:47:13 | 000,006,805 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.04 15:47:13 | 000,001,178 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.04 15:47:13 | 000,001,105 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
O1 HOSTS File: ([2009.08.26 16:31:21 | 000,326,073 | RH-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 11156 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NgTUiSAcmhn.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NgTUiSAcmhn.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars)
O9 - Extra Button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (Playtech)
O9 - Extra 'Tools' menuitem : Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (Playtech)
O9 - Extra Button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe File not found
O9 - Extra 'Tools' menuitem : PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe File not found
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207065049093 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0014-0002-0018-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D6F20E6B-6BF9-4C57-BCE5-D243A84342F5}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.12.26 14:29:51 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2011.11.10 12:36:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\Eigene Dateien\Downloads
[2011.11.10 12:33:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\Anwendungsdaten\Adobe
[2011.11.10 12:26:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2011.11.10 12:26:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\Anwendungsdaten\Mozilla
[2011.11.10 12:25:52 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\Eigene Dateien
[2011.10.15 09:53:25 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ulead.dat
[2011.10.15 09:53:10 | 000,000,000 | -H-D | C] -- C:\Programme\Ulead GIF Animator Lite Edition
[2011.10.15 09:53:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ulead GIF Animator Lite Edition
[2011.10.15 09:53:10 | 000,000,000 | -H-D | C] -- C:\WINDOWS\Noslip
[2011.10.15 09:52:29 | 000,317,440 | -H-- | C] (InstallShield Software Corporation) -- C:\WINDOWS\IsUninst.exe
[2009.07.15 16:19:42 | 000,057,344 | -H-- | C] ( ) -- C:\WINDOWS\System32\vsnpstd3.dll
[2009.07.15 16:19:42 | 000,053,248 | -H-- | C] ( ) -- C:\WINDOWS\System32\csnpstd3.dll
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[12 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2011.11.10 12:38:28 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\defogger_reenable
[2011.11.10 12:32:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.11.09 20:42:54 | 000,081,496 | -H-- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011.11.09 20:36:26 | 000,000,304 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~A4cHG1xjEsvMYi
[2011.11.09 20:36:26 | 000,000,224 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~A4cHG1xjEsvMYir
[2011.11.09 20:27:33 | 000,000,344 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\A4cHG1xjEsvMYi
[2011.11.09 20:27:26 | 000,338,784 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\A4cHG1xjEsvMYi.exe
[2011.11.09 20:18:51 | 000,425,312 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NgTUiSAcmhn.exe
[2011.11.07 16:07:12 | 000,012,598 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.10.30 08:42:06 | 000,526,614 | -H-- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.10.30 08:42:06 | 000,501,690 | -H-- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.10.30 08:42:06 | 000,104,818 | -H-- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.10.30 08:42:06 | 000,087,404 | -H-- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.10.25 11:46:03 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2011.10.15 10:05:23 | 000,000,089 | -H-- | M] () -- C:\WINDOWS\ULead32.ini
[2011.10.15 09:53:17 | 000,000,024 | -H-- | M] () -- C:\WINDOWS\System32\Kene32.uns
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[12 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
========== Files Created - No Company Name ==========
[2011.11.10 12:38:28 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MARKUS-33DAF62D.000\defogger_reenable
[2011.11.09 20:27:38 | 000,000,304 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~A4cHG1xjEsvMYi
[2011.11.09 20:27:38 | 000,000,224 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~A4cHG1xjEsvMYir
[2011.11.09 20:27:33 | 000,000,344 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\A4cHG1xjEsvMYi
[2011.11.09 20:27:25 | 000,338,784 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\A4cHG1xjEsvMYi.exe
[2011.11.09 20:21:53 | 000,425,312 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NgTUiSAcmhn.exe
[2011.10.15 09:53:25 | 000,000,089 | -H-- | C] () -- C:\WINDOWS\ULead32.ini
[2011.10.15 09:53:17 | 000,000,024 | -H-- | C] () -- C:\WINDOWS\System32\Kene32.uns
[2011.02.16 11:06:30 | 000,116,224 | -H-- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.02.07 14:21:36 | 000,000,029 | -H-- | C] () -- C:\WINDOWS\DEBUGSM.INI
[2009.11.14 13:48:58 | 000,009,057 | -H-- | C] () -- C:\WINDOWS\cdplayer.ini
[2009.08.26 17:01:04 | 000,000,884 | -H-- | C] () -- C:\WINDOWS\wininit.ini
[2009.07.15 16:19:42 | 000,015,478 | -H-- | C] () -- C:\WINDOWS\snpstd3.ini
[2009.07.15 16:18:39 | 003,600,384 | -H-- | C] () -- C:\WINDOWS\ffmpeg.exe
[2009.07.07 15:57:36 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2009.04.25 12:14:34 | 000,107,520 | -H-- | C] () -- C:\WINDOWS\System32\UnCasino5.exe
[2009.04.15 06:06:31 | 000,000,084 | -H-- | C] () -- C:\WINDOWS\TTN.INI
[2009.03.27 12:01:42 | 000,000,038 | -H-- | C] () -- C:\WINDOWS\avisplitter.INI
[2008.06.12 16:26:46 | 000,164,352 | -H-- | C] () -- C:\WINDOWS\System32\unrar.dll
[2008.06.12 16:26:42 | 000,755,027 | -H-- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008.06.12 16:26:42 | 000,159,839 | -H-- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2008.06.12 16:26:41 | 000,007,680 | -H-- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.04.02 13:18:20 | 000,000,305 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.04.02 11:30:44 | 000,000,097 | -H-- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2008.04.02 11:28:28 | 000,000,027 | -H-- | C] () -- C:\WINDOWS\CDE DX4400DEFGIPS.ini
[2008.04.02 08:56:34 | 000,000,106 | -H-- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2008.04.01 16:43:43 | 000,049,152 | -H-- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008.04.01 16:31:07 | 000,005,640 | -H-- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.04.01 16:31:06 | 000,010,288 | -H-- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.03.31 17:02:31 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2008.03.31 14:58:55 | 000,111,932 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat
[2008.03.31 14:58:55 | 000,031,053 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat
[2008.03.31 14:58:55 | 000,027,417 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat
[2008.03.31 14:58:55 | 000,026,154 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat
[2008.03.31 14:58:55 | 000,024,903 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat
[2008.03.31 14:58:55 | 000,021,390 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat
[2008.03.31 14:58:55 | 000,020,148 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat
[2008.03.31 14:58:55 | 000,011,811 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat
[2008.03.31 14:58:55 | 000,004,943 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat
[2008.03.31 14:58:55 | 000,001,146 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat
[2008.03.31 14:58:55 | 000,001,139 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat
[2008.03.31 14:58:55 | 000,001,139 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat
[2008.03.31 14:58:55 | 000,001,136 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat
[2008.03.31 14:58:55 | 000,001,129 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat
[2008.03.31 14:58:55 | 000,001,129 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat
[2008.03.31 14:58:55 | 000,001,120 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat
[2008.03.31 14:58:55 | 000,001,107 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat
[2008.03.31 14:58:55 | 000,001,104 | -H-- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat
[2008.03.29 18:56:55 | 000,004,161 | -H-- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.03.29 18:54:13 | 000,135,664 | -H-- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.03.29 11:12:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.03.29 11:08:15 | 000,021,740 | -H-- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.03.21 21:30:08 | 003,596,288 | -H-- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2007.02.22 16:17:50 | 000,000,071 | -H-- | C] () -- C:\WINDOWS\pn.ini
[2007.02.22 16:17:50 | 000,000,051 | -H-- | C] () -- C:\WINDOWS\pr.ini
[2006.10.31 07:35:00 | 001,662,976 | -H-- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.10.31 07:35:00 | 001,622,016 | -H-- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2006.10.31 07:35:00 | 001,470,464 | -H-- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.10.31 07:35:00 | 001,339,392 | -H-- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2006.10.31 07:35:00 | 001,019,904 | -H-- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.10.31 07:35:00 | 000,581,632 | -H-- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.10.31 07:35:00 | 000,466,944 | -H-- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.10.31 07:35:00 | 000,442,368 | -H-- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2006.10.31 07:35:00 | 000,425,984 | -H-- | C] () -- C:\WINDOWS\System32\keystone.exe
[2006.10.31 07:35:00 | 000,286,720 | -H-- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.10.31 07:35:00 | 000,196,608 | -H-- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006.02.28 13:00:00 | 013,107,200 | -H-- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006.02.28 13:00:00 | 000,673,088 | -H-- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.02.28 13:00:00 | 000,526,614 | -H-- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.02.28 13:00:00 | 000,501,690 | -H-- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.02.28 13:00:00 | 000,272,128 | -H-- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.02.28 13:00:00 | 000,269,480 | -H-- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.02.28 13:00:00 | 000,218,003 | -H-- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.02.28 13:00:00 | 000,104,818 | -H-- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.02.28 13:00:00 | 000,087,404 | -H-- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.02.28 13:00:00 | 000,046,258 | -H-- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.02.28 13:00:00 | 000,034,478 | -H-- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.02.28 13:00:00 | 000,028,626 | -H-- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.02.28 13:00:00 | 000,004,569 | -H-- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.02.28 13:00:00 | 000,004,461 | -H-- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006.02.28 13:00:00 | 000,001,788 | -H-- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2006.02.28 13:00:00 | 000,000,741 | -H-- | C] () -- C:\WINDOWS\System32\noise.dat
========== Alternate Data Streams ==========
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B0A96209
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP FC5A2B2
< End of report >
| Gmer auch durchlaufen lassen (da 32bit System)
da kam erstmal eine Fehlermeldung
" Loaddriver( "C:\Dokume~1\Admini~1.000\Lokale~1\Temp\fwrdrfoc.sys") error 0xC000010E: Ein dauerhafter Unterschlüssel kann nicht unter einem temporären übergeordneten Schlüssel erstellt werden. "
nach "ok" clicken (war sonst keine wahl) hat er das Program gelade. Habe mit den angegebenen Einstellungen auf "Scan" geclickt. Nach einigen Minuten war dieser zu Ende, jedoch OHNE Resultat. Also eine leere log Datei.
Ich kann auch keine Datei speichern, da diese beim nächsten hochfahren wieder verschwunden sind (bis jetzt).
Bin leider in diesen Sachen kein Profi, bitte um Hilfe was ich machen kann. Danke.
|
10.11.2011, 14:26
![EXP/Pidief.hdi [EXPLOIT] Problem](iconimages/log-analyse-auswertung/exp-pidief-hdi-exploit-problem_ltr.gif)
Baum-Darstellung