| |
| |||||||
Log-Analyse und Auswertung: drive-by InfektionWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.02.2012, 21:53
| #16 |
 |  drive-by Infektion 2. hier das Ergebnis von CCleaner Code:
ATTFilter 3D-Viewer-innoplus INNOVA-engineering GmbH 22.09.2011 2,74MB 13.01.16
AAVUpdateManager Akademische Arbeitsgemeinschaft 25.06.2011 18,5MB 16.00.0000
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 08.02.2012 10.3.181.34
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 08.02.2012 10.2.159.1
Adobe Photoshop Album 2.0 Adobe Systems, Inc. 08.02.2012 2.0
Adobe SVG Viewer 3.0 08.02.2012 3.0
Agfa FotoLook 3.60.00 09.02.2012
ALNO AG Küchenplaner ALNO AG 11.04.2011 0.98a
Apple Application Support Apple Inc. 22.01.2012 62,9MB 2.1.6
Apple Mobile Device Support Apple Inc. 22.01.2012 24,3MB 4.0.0.97
Apple Software Update Apple Inc. 22.01.2012 2,38MB 2.1.3.127
Avid Pro Tools SE 8.0.3 Digidesign, ein Geschäftsbereich von Avid Technology, Inc. 26.07.2011 8.0.3
Bonjour Apple Inc. 22.01.2012 1,03MB 3.0.0.10
Broadcom Management Programs Broadcom Corporation 05.04.2011 8,99MB 11.67.01
BurnInTest v6.0 Pro Passmark Software 28.04.2011 6.0
Canon i9950 09.02.2012
CCleaner Piriform 09.02.2012 3.15
Click to Call with Skype Skype Technologies S.A. 22.08.2011 13,4MB 5.6.8153
ESBCalc ESB Consultancy 03.12.2011 7.3.0.0
ESET Online Scanner v3 08.02.2012
FileZilla Client 3.2.7.1 08.02.2012 3.2.7.1
Foxit Reader 5.1 Foxit Corporation 08.01.2012 5.1.4.104
FreeCommander 2009.02b Marek Jasinski 03.12.2011 2009.02
FreePDF (Remove only) 09.02.2012
GIMP 2.6.11 The GIMP Team 08.01.2012 2.6.11
Google Earth Google 19.11.2011 92,8MB 6.1.0.5001
GPL Ghostscript 8.71 08.02.2012
HHD Software Hex Editor Neo 4.97 HHD Software, Ltd. 09.02.2012 4.97.2.3667
Horland's Scan2Pdf Horland Software 03.12.2011 2.2.0.0
ImgBurn LIGHTNING UK! 03.12.2011 2.5.6.0
Intel(R) Graphics Media Accelerator Driver Intel Corporation 09.02.2012
Intel(R) Management Engine Interface Intel Corporation 09.02.2012
Intel(R) Network Connections 15.2.89.2 Intel 05.06.2011 15.2.89.2
Intel(R) PRO Intelligent Installer Intel 05.06.2011 3,50MB 2.02.0000
Interlok driver setup x32 PACE Anti-Piracy 26.07.2011 0,12MB 5.8.13
iPhoneBrowser Cranium Consulting and Custom Software 22.01.2012 0,41MB 1.9.3
iTunes Apple Inc. 22.01.2012 171,0MB 10.5.3.3
Java(TM) 6 Update 17 Sun Microsystems, Inc. 09.10.2011 97,7MB 6.0.170
LibreOffice 3.4 LibreOffice 09.11.2011 497MB 3.4.402
Logoi Hellenikoi Version 1.1 29.11.2011 1.1
M-Audio MobilePre Driver 1.0.4 (x86) M-Audio 26.07.2011 5,79MB 1.0.4
Macromedia Shockwave Player 08.02.2012
MadOnion.com/3DMark2001 SE 08.02.2012
Malwarebytes' Anti-Malware Version 1.51.2.1300 Malwarebytes Corporation 21.10.2011 1.51.2.1300
Microsoft .NET Framework 1.1 11.01.2012
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 23.01.2012 184,9MB 2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 23.01.2012 209MB 3.2.30729
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 23.01.2012
Microsoft Silverlight Microsoft Corporation 27.08.2011 19,4MB 4.0.60531.0
Microsoft User-Mode Driver Framework Feature Pack 1.9 Microsoft Corporation 21.11.2011
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 04.07.2011 5,25MB 8.0.59193
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 12.04.2011 10,3MB 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 29.06.2011 10,2MB 9.0.30729.4148
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 Microsoft Corporation 29.06.2011 11,0MB 10.0.30319
MozBackup 1.5.1 Pavel Cvrcek 08.02.2012
Mozilla Firefox (3.6.25) Mozilla 09.02.2012 3.6.25 (de)
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 16.06.2011 2,67MB 4.20.9870.0
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 19.06.2011 2,77MB 4.20.9876.0
Nero - Burning Rom ahead software gmbh 16.08.2011 66,5MB 5.5.9
Network Time Protocol 08.02.2012 4.2.4p5@beijing-o
Nmap 5.51 08.02.2012
Nokia Connectivity Cable Driver Nokia 21.11.2011 3,61MB 7.1.48.0
Nokia Suite Nokia 21.11.2011 3.2.100.0
PC Connectivity Solution Nokia 21.11.2011 14,7MB 11.5.13.0
PC Inspector smart recovery 08.02.2012 4.50
PDF Complete Special Edition PDF Complete, Inc 08.02.2012 3.5.109
PL-2303 USB-to-Serial Prolific Technology INC 12.04.2011 1.3.0
Raw Therapee V4.0.4.2 x86 Raw Therapee Team 03.12.2011 46,3MB 4.0.402
RedMon - Redirection Port Monitor 09.02.2012
Roxio Drag-to-Disc Roxio 25.06.2011 10,8MB 9.1
SeaMonkey (1.1.19) 09.02.2012
Shareaza Version 2.2.1.0 Shareaza Development Team 08.02.2012 2.2.1.0
Skype™ 5.5 Skype Technologies S.A. 22.08.2011 17,0MB 5.5.113
SoundMAX Analog Devices 06.04.2011 5.10.01.5880
SpeedFan (remove only) 08.02.2012
Steuer-Spar-Erklärung 2010 Akademische Arbeitsgemeinschaft Verlag 03.11.2011 240MB 15.14
Steuer-Spar-Erklärung 2011 Akademische Arbeitsgemeinschaft Verlag 20.10.2011 383MB 16.14
UltraVNC 1.0.8.2 1.0.8.2 11.04.2011 1.0.8.2
Viewpoint Media Player 08.02.2012
VLC media player 1.1.11 VideoLAN 09.02.2012 1.1.11
Winamp Nullsoft, Inc 09.02.2012 5.57
Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation 07.04.2011
Windows Internet Explorer 8 Microsoft Corporation 07.04.2011 20090308.140743
Windows Media Format 11 runtime 09.02.2012
Windows Resource Kit Tools Microsoft Corporation 11.04.2011 18,7MB 5.2.3790
Windows Support Tools Microsoft Corporation 05.04.2011 5,65MB 5.1.2600.5512
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) Nokia 08.02.2012 08/22/2008 7.0.0.0
WinPcap 4.1.2 CACE Technologies 08.02.2012 4.1.0.2001
WinRAR 09.02.2012
Wireshark 0.99.7 The Wireshark developer community, hxxp://www.wireshark.org 08.02.2012 0.99.7
|
|
09.02.2012, 23:44
| #17 |
| | drive-by Infektion combofix.log und otl &extra log
__________________Geändert von popeye2 (10.02.2012 um 00:07 Uhr) |
|
10.02.2012, 09:23
| #18 | |
| /// Helfer-Team    | drive-by Infektion 1.
__________________Zitat:
Code:
ATTFilter :OTL
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
@Alternate Data Stream - 48 bytes -> D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت
:Commands
[purity]
[emptytemp]
2. Deine Javaversion ist nicht aktuell! Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen: → Systemsteuerung → Software → deinstallieren... → Rechner neu aufstarten → Downloade nun die Offline-Version von Java Version 6 Update 30 von Oracle herunter Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)! 3. reinige dein System mit CCleaner:
4.
5. Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung 6. -> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<< ► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?
__________________ |
|
10.02.2012, 09:27
| #19 |
| | drive-by Infektion Hi, dein support ist echt unermüdlich  Verreise übers WE und melde mich So abend oder Montag wieder.  |
|
10.02.2012, 09:49
| #20 |
| /// Helfer-Team | drive-by Infektion Ist in Ordnung, ich wünsche Dir eine schöne Reise 
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! |
|
12.02.2012, 20:58
| #21 |
| | drive-by Infektion zu 1: Code:
ATTFilter All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
ADS D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: ****
->Temp folder emptied: 49632 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: ntp
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: **
->Temp folder emptied: 129752 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 2731666 bytes
->Flash cache emptied: 0 bytes
User: ***
->Temp folder emptied: 31334 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 50115 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 3,00 mb
OTL by OldTimer - Version 3.2.31.0 log created on 02122012_205145
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
edit 3) ist durch 4 ) hat 819 cookies gefunden und 14 angebliche Trojaner. Das hat einen Neustart erfordert Wo steht die Logdatei? Geändert von popeye2 (12.02.2012 um 21:48 Uhr) |
|
12.02.2012, 22:27
| #22 |
| | drive-by Infektion Hi, hier der log bericht von S.A.S. Code:
ATTFilter Trojan.AGENT/Gen-Sirefef
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065006.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065015.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065074.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065086.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065099.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065119.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065956.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066183.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066262.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066279.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066291.SYS
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066301.SYS
Trojan.Agent/Gen-Proxyier
D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066169.EXE
neuer mbam scan: Code:
ATTFilter Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.06.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 *** :: WOLFI [Administrator] 12.02.2012 22:34:43 mbam-log-2012-02-12 (22-34-43).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 333824 Laufzeit: 34 Minute(n), 14 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{C46F5E91-E789-CB89-5A11-A893D8A9D1B9} (Trojan.ZbotR.Gen) -> Daten: "D:\Dokumente und Einstellungen\***\Anwendungsdaten\Utpime\zeevu.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 D:\Dokumente und Einstellungen\***\Anwendungsdaten\Utpime\zeevu.exe (Trojan.ZbotR.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Geändert von popeye2 (12.02.2012 um 23:20 Uhr) |
|
13.02.2012, 00:28
| #23 |
| | drive-by Infektion das schreibt gmer interessanterweise ist super-anti -spyware der Übeltäter ?! Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-02-13 00:23:26
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16 WDC_WD3200BEVT-63ZCT0 rev.11.01A11
Running: gmehr.exe; Driver: D:\DOKUME~1\***\LOKALE~1\Temp\pxtdqpob.sys
---- System - GMER 1.0.15 ----
SSDT \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.SYS ZwTerminateProcess [0xA9200640]
---- Kernel code sections - GMER 1.0.15 ----
? ovao.sys Das System kann die angegebene Datei nicht finden. !
.text netbt.sys A9263000 77 Bytes [89, 01, 81, 7D, 10, 16, 00, ...]
.text netbt.sys A926304E 77 Bytes [47, 18, 8B, 70, 0C, 85, F6, ...]
.text netbt.sys A926309C 71 Bytes [4F, 5C, FF, 15, 80, D0, 27, ...]
.text netbt.sys A92630E4 52 Bytes [89, 46, E4, 8B, 03, 83, EE, ...]
.text netbt.sys A9263119 33 Bytes [50, 89, 45, F0, 89, 46, 18, ...]
.text ...
? D:\WINDOWS\system32\DRIVERS\netbt.sys suspicious PE modification
? D:\Programme\SUPERAntiSpyware\SASKUTIL.SYS Das System kann den angegebenen Pfad nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text D:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00FC000A
.text D:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00FD000A
.text D:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00FB000C
? D:\WINDOWS\System32\svchost.exe[1100] D:\WINDOWS\System32\smss.exe image checksum mismatch; time/date stamp mismatch;
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\netbt.sys[HAL.dll!KfLowerIrql] 11850FA9
IAT \SystemRoot\system32\DRIVERS\netbt.sys[HAL.dll!KeGetCurrentIrql] 38FFFFC2
IAT \SystemRoot\system32\DRIVERS\netbt.sys[HAL.dll!KfRaiseIrql] 850FFF5D
---- User IAT/EAT - GMER 1.0.15 ----
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtTerminateProcess] 83EC8B55
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtRaiseHardError] 458D74EC
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitUnicodeString] 15FF50F8
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAdjustPrivilege] [0284F014] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFreeHeap] 01FC7531
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUpcaseUnicodeChar] 458DF875
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnicodeStringToInteger] 15FF508C
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAllocateHeap] [0284F004] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFreeUnicodeString] 458D086A
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgPrintEx] 458D50F8
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExtendedIntegerMultiply] 15FF508C
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryVolumeInformationFile] [0284F000] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenFile] 508C458D
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtClose] F00815FF
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcslen] 458B0284
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcscpy] E84533E4
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationProcess] 33EC4533
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreatePagingFile] C3C9F045
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationFile] 8BEC8B55
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationFile] EC833040
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgPrint] 57565314
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQuerySystemInformation] D98B388B
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_allmul] EB04708D
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetSecurityObject] 46B70F20
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetOwnerSecurityDescriptor] 30448D1A
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetDaclSecurityDescriptor] F0F0681C
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAddAccessAllowedAce] 4F500284
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateAcl] 00DCAFE8
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateSecurityDescriptor] 85595900
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAllocateAndInitializeSid] 811374C0
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDosPathNameToNtPathName_U] 00011CC6
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExpandEnvironmentStrings_U] 75FF8500
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryValueKey] 5FC033DC
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!swprintf] C2C95B5E
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenKey] 468B0008
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetValueKey] F4458908
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateKey] 8B0C468B
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateFile] 45890473
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReadFile] 74F685F0
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_chkstk] D8BB8D77
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcsstr] 57000000
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_wcsupr] 85015068
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtMakeTemporaryObject] 8D426A02
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateSymbolicLinkObject] 4E50FC45
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenDirectoryObject] F0E015FF
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcsncpy] C0850284
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAnsiStringToUnicodeString] 458D537C
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitAnsiString] 046A50EC
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_stricmp] 50F8458D
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateSection] 75FF096A
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrVerifyImageMatchesChecksum] DC15FFFC
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateDirectoryObject] 850284F0
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetEnvironmentVariable] 8B317CC0
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrUnloadDll] 452BF845
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrGetProcedureAddress] F0453BF4
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitString] [006A2673] D:\WINDOWS\System32\xpsp2res.dll (Service Pack 2-Meldungen/Microsoft Corporation)
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrLoadDll] FFFC75FF
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCompareUnicodeString] 84F0D415
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEqualString] 7CC08502
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!memmove] 0C4D8B17
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_wcsicmp] 1F8B018B
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUnicodeString] 8908558B
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDosSearchPath_U] 5F8BC21C
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlQueryEnvironmentVariable_U] C25C8904
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEqualUnicodeString] 01894004
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAppendUnicodeToString] FFFC75FF
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAppendUnicodeStringToString] 84F0D815
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtWaitForSingleObject] 40C78302
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtResumeThread] 8F75F685
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDestroyProcessParameters] E940C033
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUserProcess] FFFFFF67
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateProcessParameters] 51EC8B55
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnlockBootStatusData] 0173A051
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlGetSetBootStatusData] 56530285
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLockBootStatusData] C0BE0F57
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDisplayString] 7D89FF33
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!sprintf] DC2AE8F8
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDuplicateObject] DC8B0000
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLengthSid] 45C7F633
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlGetAce] 001000FC
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlPrefixUnicodeString] FC458B00
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQuerySymbolicLinkObject] 0F73F83B
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenSymbolicLinkObject] 11E8C72B
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryDirectoryObject] 8B0000DC
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtRequestWaitReplyPort] 2BC38BF4
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFindMessage] 8DF88BC6
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetEvent] 5750FC45
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetSystemInformation] FF056A56
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateEvent] 84F0D015
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLeaveCriticalSection] 00043D02
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEnterCriticalSection] D574C000
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcscat] 047DC085
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrQueryImageFileExecutionOptions] 60EBC033
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDelayExecution] F003C033
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtInitializeRegistry] 468D016A
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlQueryRegistryValues] 18685038
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDeleteValueKey] FF0284F1
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateEnvironment] 84F0CC15
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUserThread] 75C08402
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreatePort] 85068B08
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitializeCriticalSection] EBE375C0
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationProcess] [68006A3C] D:\WINDOWS\System32\rsaenh.dll (Microsoft Enhanced Cryptographic Provider/Microsoft Corporation)
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateTagHeap] 00040000
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationThread] F07415FF
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationToken] F88B0284
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenThreadToken] 2974FF85
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtImpersonateClientOfPort] FF016A57
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtConnectPort] 15FF4476
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCompleteConnectPort] [0284F020] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtAcceptConnectPort] 127CC085
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenProcess] 8B0C75FF
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReplyWaitReceivePort] 0875FFCE
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExitUserThread] 81E8C78B
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReplyPort] 89FFFFFE
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetThreadIsCritical] FF57F845
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtWaitForMultipleObjects] 84F02415
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetProcessIsCritical] F8458B02
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnicodeStringToAnsiString] 5FEC658D
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtAdjustPrivilegesToken] C2C95B5E
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenProcessToken] 8B550008
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnhandledExceptionFilter] 3CEC81EC
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnwind] 56000002
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryVirtualMemory] E856F08B
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgBreakPoint] 0000DB36
IAT D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlNormalizeProcessParams] [00803D59] D:\WINDOWS\System32\xpsp2res.dll (Service Pack 2-Meldungen/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)
---- Modules - GMER 1.0.15 ----
Module (noname) (*** hidden *** ) BA2A8000-BA2B8000 (65536 bytes)
---- Processes - GMER 1.0.15 ----
Library D:\Programme\SUPERAntiSpyware\SASSEH.DLL (*** hidden *** ) @ D:\WINDOWS\Explorer.EXE [348] 0x10000000
Library D:\Programme\SUPERAntiSpyware\SASWINLO.DLL (*** hidden *** ) @ D:\WINDOWS\system32\winlogon.exe [728] 0x10000000
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x31 0x1D 0x8E 0xE9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x31 0x1D 0x8E 0xE9 ...
Reg HKLM\SOFTWARE\Classes\{1A493EAC-93D3-4646-B911-4697A475FF4B}
Reg HKLM\SOFTWARE\Classes\{1A493EAC-93D3-4646-B911-4697A475FF4B}@ 0xB9 0xB5 0x0C 0xE1 ...
Reg HKLM\SOFTWARE\Classes\{20EF7B60-CE85-4048-A409-02CB203268EE}
Reg HKLM\SOFTWARE\Classes\{20EF7B60-CE85-4048-A409-02CB203268EE}@ 0xA3 0x54 0xEB 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{242E582C-66A8-478C-8BCA-0AF9F1D38D39}
Reg HKLM\SOFTWARE\Classes\{242E582C-66A8-478C-8BCA-0AF9F1D38D39}@ 0x18 0xA4 0xDA 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{29638F0C-042B-4B50-A2D2-8E8E7CA71E4F}
Reg HKLM\SOFTWARE\Classes\{29638F0C-042B-4B50-A2D2-8E8E7CA71E4F}@ 0xD5 0xBA 0x90 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{3B84C2D7-708C-48EF-8ED7-0C5FC0F030C6}
Reg HKLM\SOFTWARE\Classes\{3B84C2D7-708C-48EF-8ED7-0C5FC0F030C6}@ 0x1D 0x82 0x57 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{47BF077C-44C6-42B1-8F88-ADE2585DD2ED}
Reg HKLM\SOFTWARE\Classes\{47BF077C-44C6-42B1-8F88-ADE2585DD2ED}@ 0x15 0x0E 0x07 0xE2 ...
Reg HKLM\SOFTWARE\Classes\{787E3340-6D04-4BF3-BCC2-2AD3630471CE}
Reg HKLM\SOFTWARE\Classes\{787E3340-6D04-4BF3-BCC2-2AD3630471CE}@ 0xA3 0x71 0x06 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{92561398-2ED8-42AF-86E2-66FA8E9DC46E}
Reg HKLM\SOFTWARE\Classes\{92561398-2ED8-42AF-86E2-66FA8E9DC46E}@ 0x1A 0x30 0xA6 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{97A98033-9FA1-4E80-A339-59787B43CC89}
Reg HKLM\SOFTWARE\Classes\{97A98033-9FA1-4E80-A339-59787B43CC89}@ 0xD7 0x0C 0x26 0xE2 ...
Reg HKLM\SOFTWARE\Classes\{A82EB336-567D-4F41-A63E-8113AD8B6903}
Reg HKLM\SOFTWARE\Classes\{A82EB336-567D-4F41-A63E-8113AD8B6903}@ 0x2F 0x6F 0x44 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{B67DA794-42D6-4DFE-AE29-0334338228C9}
Reg HKLM\SOFTWARE\Classes\{B67DA794-42D6-4DFE-AE29-0334338228C9}@ 0x93 0x84 0x19 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{C4B20040-7D5A-4558-9E19-B7DF94366F97}
Reg HKLM\SOFTWARE\Classes\{C4B20040-7D5A-4558-9E19-B7DF94366F97}@ 0xA3 0x1A 0xB5 0xE2 ...
Reg HKLM\SOFTWARE\Classes\{C514227C-0AF4-44BB-816A-E9483A4302C9}
Reg HKLM\SOFTWARE\Classes\{C514227C-0AF4-44BB-816A-E9483A4302C9}@ 0x30 0x91 0xC7 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{C55AC07F-5B51-486C-811A-750184298D58}
Reg HKLM\SOFTWARE\Classes\{C55AC07F-5B51-486C-811A-750184298D58}@ 0x8B 0x67 0xFE 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{C7A40493-BF23-4B53-AB2A-4A923B3EE34B}
Reg HKLM\SOFTWARE\Classes\{C7A40493-BF23-4B53-AB2A-4A923B3EE34B}@ 0x9D 0xBE 0x33 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{E14E55A7-29C8-4389-8E5A-3EF964510FCA}
Reg HKLM\SOFTWARE\Classes\{E14E55A7-29C8-4389-8E5A-3EF964510FCA}@ 0x4B 0xD0 0x65 0xE0 ...
Reg HKLM\SOFTWARE\Classes\{F5E30566-7C8F-4037-A8FF-A7382E251C56}
Reg HKLM\SOFTWARE\Classes\{F5E30566-7C8F-4037-A8FF-A7382E251C56}@ 0x02 0x43 0xB9 0xE0 ...
---- Files - GMER 1.0.15 ----
File D:\WINDOWS\$NtUninstallKB14502$\2385777509 0 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346 0 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\@ 2048 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\cfg.ini 280 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\Desktop.ini 4608 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\L 0 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\L\uonarkpi 162816 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\U 0 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000001.@ 2048 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000002.@ 224768 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000004.@ 1024 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000000.@ 66560 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000004.@ 12800 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000032.@ 73216 bytes
File D:\WINDOWS\$NtUninstallKB14502$\2984020346\version 856 bytes
---- EOF - GMER 1.0.15 ----
Geändert von popeye2 (13.02.2012 um 00:37 Uhr) |
|
13.02.2012, 08:46
| #24 | ||
| /// Helfer-Team | drive-by Infektion die Schritte 5. und 6.?:-> http://www.trojaner-board.de/109267-...tml#post769563 1. Code:
ATTFilter Shareaza
Zitat:
Ausserdem nicht nur trojanische Pferde oder andere Virentypen eine direkt Verbindung brauchen, sondern der Verwendung von µtorrent & Co, "telefonieren auch nach Hause", wenn auch noch keine Beweise vorliegen (zumindest teilweise nicht) und solchen Clients erlaubt, würde ich nicht empfehlen!  Solange du solche Programme auf dein PC hast, wirst Du Dich laufend mit etwas Problematik konfrontieren müssen! 2. Zitat:
Code:
ATTFilter :OTL
[2011.04.11 20:55:35 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Shareaza
@Alternate Data Stream - 48 bytes -> D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\Shareaza\Shareaza.exe" =-
:Commands
[purity]
[emptytemp]
► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! |
|
13.02.2012, 09:16
| #25 |
| | drive-by Infektion Hi Kira, Shareaza nutzt ich seit Jahren nicht mehr. War damals als es noch keine schnellen 1-click Hoster gab praktisch , um z.B. sich ein Linux CD Image in angemessener Zeit zu holen. Von manchen Distis gab es Vorabversionen nur per torrent oder chronisch überlasteten Uni ftp servern. Siehst du vielleicht auch an der Versionsnummer, dass Shareaza alt ist. Ich glaube auch dass es gar nicht mehr installiert ist sondern die Programmdatei vom alten PC nur vom Backup eingespielt wurde (der hatte noch w2k) Wenn es gegen die Regeln von Trojaner-board verstößt, tut es mir leid. 5. und 6. hab ich noch nicht gemacht da der Rechner wieder offline ist |
|
13.02.2012, 20:28
| #26 |
| | drive-by Infektion das rootkit ist weiterhin da  noch mal combofix probieren? Geändert von popeye2 (13.02.2012 um 20:35 Uhr) |
|
13.02.2012, 23:21
| #27 |
| | drive-by Infektion hier noch ein Log von aswmbr. GMER schreit auch noch |
|
14.02.2012, 08:09
| #28 |
| | drive-by Infektion ups da sind die Anhänge |
|
14.02.2012, 20:09
| #29 | |
| /// Helfer-Team | drive-by InfektionZitat:
Tipps & Hilfe: -> Anleitung: Neuaufsetzen des Systems + Absicherung -> Neuaufsetzen (Windows XP, Vista und Windows 7) - Anleitungen Nachdem Du dein System neu installiert hast: Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus - Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, eventuell auch die PIN für das Online-Banking) Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password)
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! |
|
14.02.2012, 20:12
| #30 |
| | drive-by Infektion Hi Kira, Eben noch mal OTL gescannt: Leider sind wieder alle Vruskomponenten da. Gibt es noch eine Chance? Habe schon mal Ultimate boot cd (UBCD) geladen und gebrannt. Damit sollte es doch möglich sein (unter Linux) alle Viren Files zu entfernen und den MBR wiederherzustellen (und nicht irgend eine gespiegelte Kopie wenn Windoof läuft) GMER findet einen Teil des Virencodereservoirs ($NtUninstallKB14502$). Das ist unter Windows aber zugriffsgesperrt. Logischerweis emüsste ich bei externem "Töten" alle weiteren Virenquellen mit beseitigen, sonst baut sich alles wieder auf... Kennst du einen brauchbaren Linuxvirenscanner? Dann könnte ich den mal mit der UBCD starten. Oder doch  ??? |
|
| Themen zu drive-by Infektion |
| 80000000.@, alert, aswmbr, avast, classpnp.sys, computer, dateisystem, desktop.ini, diverse, drive-by infektion, einstellungen, fake, gelöscht, hal.dll, harddisk, heuristiks/extra, heuristiks/shuriken, infected, internet, kaputt, log, log file, ntdll.dll, registry, scan, sekunden, software, svchost.exe, system, temp, trojaner, windows, windows xp, wireshark, öffnet |
.
Linear-Darstellung
