| |
| |||||||
Log-Analyse und Auswertung: Rechner wurde gesperrt inkl. Web-Cam oben linksWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
31.07.2012, 19:53
| #1 |
 |  Rechner wurde gesperrt inkl. Web-Cam oben links hallo mein pc wurde gestern abend gesperrt. pc neustart etc. ging nicht mehr. per laptop habe ich mir lt. anleitung von chip den windows unlocker kaspersky runtergeladen und den pc per cd neu gestartet. anschließend den unlocker ausgeführt. danach noch mit diesem programm die festplatte c untersucht. der scan stoppte 2x und ich habe mit L (delete) bestätigt. (ein bild habe ich per handy gemacht) hoffe das löschen war kein fehler. - nun konnte ich windows wieder nomal starten - die desktopsymbole waren komischer weise nicht mehr sichtbar (habe ich wieder unter ansicht angeklickt. nun wie ich hier überall lese ist das system wohl noch nicht bereinigt. also habe ich eure anleitungen befolgt und als erstes - Malwarebytes Anti-Malware gestartet und folgendes wurde gefunden. Infizierte Dateiobjekte der Registrierung: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. danach habe ich OTL durchlaufen lassen alle 3 dateien habe ich angefügt. muss ich jetzt noch was beachten, ändern, etc.??? vielen dank schon jetzt |
|
31.07.2012, 21:03
| #2 |
| | Rechner wurde gesperrt inkl. Web-Cam oben links defogger und GMER hier angefügt.
__________________Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:22 on 31/07/2012 (***)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-31 21:55:11
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-6 WDC_WD6400AAKS-65A7B2 rev.01.03B01
Running: mvfjqsz8.exe; Driver: C:\Users\***\AppData\Local\Temp\pwdiypog.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwAddBootEntry [0xA9A2B536]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwAllocateVirtualMemory [0xAA71D7BA]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwAssignProcessToJobObject [0xA9A2BF52]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateEvent [0xA9A36D7A]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateEventPair [0xA9A36DC6]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateIoCompletion [0xA9A36F48]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateMutant [0xA9A36CE8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xAA71DBAC]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateSemaphore [0xA9A36D30]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateThread [0xA9A2C146]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateThreadEx [0xA9A2C2CE]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateTimer [0xA9A36F02]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwDebugActiveProcess [0xA9A2C8CA]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwDeleteBootEntry [0xA9A2B584]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwFreeVirtualMemory [0xAA71D89E]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwLoadDriver [0xA9A2B1EC]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwModifyBootEntry [0xA9A2B5D2]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwNotifyChangeKey [0xA9A302A8]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwNotifyChangeMultipleKeys [0xA9A2D292]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenEvent [0xA9A36DA4]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenEventPair [0xA9A36DE8]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenIoCompletion [0xA9A36F6C]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenMutant [0xA9A36D0E]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenSection [0xA9A36E8C]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenSemaphore [0xA9A36D58]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenTimer [0xA9A36F26]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwProtectVirtualMemory [0xAA71DA1E]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwQueryObject [0xA9A2D15E]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwQueueApcThreadEx [0xA9A2CE9A]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetBootEntryOrder [0xA9A2B620]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetBootOptions [0xA9A2B66E]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetContextThread [0xA9A2C74A]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetSystemInformation [0xA9A2B276]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetSystemPowerState [0xA9A2B426]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwShutdownSystem [0xA9A2B3CC]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSuspendProcess [0xA9A2CA2C]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSuspendThread [0xA9A2CB88]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSystemDebugControl [0xA9A2B496]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwTerminateProcess [0xAA71DAE8]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwTerminateThread [0xA9A2C5CA]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwVdmControl [0xA9A2B6BC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwWriteVirtualMemory [0xAA71D954]
INT 0x52 ? 9E490A58
INT 0x62 ? 9E490558
INT 0x71 ? 9F73CA58
INT 0x72 ? 9E489558
INT 0x82 ? 9E4897D8
INT 0x91 ? 9F73CCD8
INT 0x92 ? 9E489A58
INT 0xA2 ? 9E4907D8
INT 0xB0 ? 9F73C7D8
INT 0xB1 ? 9E489CD8
INT 0xB3 ? 9E490058
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xAA735744]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwRollbackEnlistment + 140D E2E773C9 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 E2EB0D52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!KeRemoveQueueEx + 10CB E2EB7D80 4 Bytes [36, B5, A2, A9]
.text ntkrnlpa.exe!KeRemoveQueueEx + 10F3 E2EB7DA8 4 Bytes [BA, D7, 71, AA]
.text ntkrnlpa.exe!KeRemoveQueueEx + 1153 E2EB7E08 4 Bytes [52, BF, A2, A9]
.text ntkrnlpa.exe!KeRemoveQueueEx + 11A7 E2EB7E5C 8 Bytes [7A, 6D, A3, A9, C6, 6D, A3, ...]
.text ntkrnlpa.exe!KeRemoveQueueEx + 11B3 E2EB7E68 4 Bytes [48, 6F, A3, A9]
.text ...
PAGE ntkrnlpa.exe!ObMakeTemporaryObject E3044C64 5 Bytes JMP AA73261C \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE ntkrnlpa.exe!ObInsertObject + 27 E305D290 5 Bytes JMP AA734116 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE ntkrnlpa.exe!ZwReplyWaitReceivePortEx + 108 E30723D7 4 Bytes CALL A9A2D959 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
PAGE ntkrnlpa.exe!ZwAlpcSendWaitReceivePort + 122 E308C1E0 4 Bytes CALL A9A2D96F \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx E311611A 7 Bytes JMP AA735748 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0xAAE31000, 0x3A3E05, 0xE8000020]
.text kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
---- User code sections - GMER 1.0.15 ----
.text C:\Windows\Explorer.EXE[352] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\Explorer.EXE[352] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\Explorer.EXE[352] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\Explorer.EXE[352] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00110A08
.text C:\Windows\Explorer.EXE[352] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001103FC
.text C:\Windows\Explorer.EXE[352] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00110804
.text C:\Windows\Explorer.EXE[352] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001101F8
.text C:\Windows\Explorer.EXE[352] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00110600
.text C:\Windows\system32\csrss.exe[428] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\svchost.exe[444] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\system32\svchost.exe[444] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\system32\svchost.exe[444] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\svchost.exe[444] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00190A08
.text C:\Windows\system32\svchost.exe[444] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001903FC
.text C:\Windows\system32\svchost.exe[444] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00190804
.text C:\Windows\system32\svchost.exe[444] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001901F8
.text C:\Windows\system32\svchost.exe[444] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00190600
.text C:\Windows\system32\wininit.exe[508] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\csrss.exe[516] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\services.exe[556] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\lsass.exe[580] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\lsm.exe[588] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text ...
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000703FC
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000701F8
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00110A08
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001103FC
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00110804
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001101F8
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1324] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00110600
.text C:\Windows\system32\svchost.exe[1332] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1408] kernel32.dll!SetUnhandledExceptionFilter 761FF4FB 4 Bytes [C2, 04, 00, 90] {RET 0x4; NOP }
.text C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1408] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00110A08
.text C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001103FC
.text C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00110804
.text C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001101F8
.text C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1492] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00110600
.text C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 001603FC
.text C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 001601F8
.text C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 001F0A08
.text C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001F03FC
.text C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 001F0804
.text C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001F01F8
.text C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe[1536] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 001F0600
.text C:\Program Files\Bonjour\mDNSResponder.exe[1556] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Program Files\Bonjour\mDNSResponder.exe[1556] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Program Files\Bonjour\mDNSResponder.exe[1556] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00100A08
.text C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001003FC
.text C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00100804
.text C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001001F8
.text C:\Program Files\Bonjour\mDNSResponder.exe[1556] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00100600
.text C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00200A08
.text C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 002003FC
.text C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00200804
.text C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 002001F8
.text C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe[1572] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00200600
.text C:\Windows\system32\svchost.exe[1932] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\system32\svchost.exe[1932] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\system32\svchost.exe[1932] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\svchost.exe[1932] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00270A08
.text C:\Windows\system32\svchost.exe[1932] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 002703FC
.text C:\Windows\system32\svchost.exe[1932] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00270804
.text C:\Windows\system32\svchost.exe[1932] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 002701F8
.text C:\Windows\system32\svchost.exe[1932] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00270600
.text C:\Windows\System32\spoolsv.exe[2008] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000A03FC
.text C:\Windows\System32\spoolsv.exe[2008] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000A01F8
.text C:\Windows\System32\spoolsv.exe[2008] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\System32\spoolsv.exe[2008] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00150A08
.text C:\Windows\System32\spoolsv.exe[2008] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001503FC
.text C:\Windows\System32\spoolsv.exe[2008] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00150804
.text C:\Windows\System32\spoolsv.exe[2008] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001501F8
.text C:\Windows\System32\spoolsv.exe[2008] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00150600
.text C:\Windows\system32\taskhost.exe[2016] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000503FC
.text C:\Windows\system32\taskhost.exe[2016] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000501F8
.text C:\Windows\system32\taskhost.exe[2016] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\taskhost.exe[2016] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00070A08
.text C:\Windows\system32\taskhost.exe[2016] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 000703FC
.text C:\Windows\system32\taskhost.exe[2016] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00070804
.text C:\Windows\system32\taskhost.exe[2016] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 000701F8
.text C:\Windows\system32\taskhost.exe[2016] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00070600
.text C:\Windows\system32\Dwm.exe[2024] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\system32\Dwm.exe[2024] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\system32\Dwm.exe[2024] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\Dwm.exe[2024] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00080A08
.text C:\Windows\system32\Dwm.exe[2024] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 000803FC
.text C:\Windows\system32\Dwm.exe[2024] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00080804
.text C:\Windows\system32\Dwm.exe[2024] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 000801F8
.text C:\Windows\system32\Dwm.exe[2024] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00080600
.text C:\Windows\system32\FsUsbExService.Exe[2136] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 001503FC
.text C:\Windows\system32\FsUsbExService.Exe[2136] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 001501F8
.text C:\Windows\system32\FsUsbExService.Exe[2136] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 001E0A08
.text C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001E03FC
.text C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 001E0804
.text C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001E01F8
.text C:\Windows\system32\FsUsbExService.Exe[2136] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 001E0600
.text C:\Windows\system32\svchost.exe[2160] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\system32\svchost.exe[2160] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\system32\svchost.exe[2160] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\System32\svchost.exe[2188] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\System32\svchost.exe[2188] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\System32\svchost.exe[2188] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\System32\svchost.exe[2284] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\System32\svchost.exe[2284] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\System32\svchost.exe[2284] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\PnkBstrA.exe[2312] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 001503FC
.text C:\Windows\system32\PnkBstrA.exe[2312] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 001501F8
.text C:\Windows\system32\PnkBstrA.exe[2312] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00170A08
.text C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001703FC
.text C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00170804
.text C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001701F8
.text C:\Windows\system32\PnkBstrA.exe[2312] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00170600
.text C:\Windows\system32\svchost.exe[2340] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\system32\svchost.exe[2340] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\system32\svchost.exe[2340] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\svchost.exe[2640] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\system32\svchost.exe[2640] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\system32\svchost.exe[2640] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\svchost.exe[2640] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 002B0A08
.text C:\Windows\system32\svchost.exe[2640] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 002B03FC
.text C:\Windows\system32\svchost.exe[2640] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 002B0804
.text C:\Windows\system32\svchost.exe[2640] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 002B01F8
.text C:\Windows\system32\svchost.exe[2640] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 002B0600
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00AB0A08
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 00AB03FC
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00AB0804
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 00AB01F8
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe[2996] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00AB0600
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00100A08
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001003FC
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00100804
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001001F8
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[3092] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00100600
.text C:\Program Files\Alwil Software\Avast5\AvastUI.exe[3140] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 001603FC
.text C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 001601F8
.text C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 001F0A08
.text C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001F03FC
.text C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 001F0804
.text C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001F01F8
.text C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3148] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 001F0600
.text C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 001503FC
.text C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 001501F8
.text C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00170A08
.text C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001703FC
.text C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00170804
.text C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001701F8
.text C:\Program Files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe[3352] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00170600
.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[3368] KERNEL32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\iTunes\iTunesHelper.exe[3376] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Program Files\iTunes\iTunesHelper.exe[3376] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Program Files\iTunes\iTunesHelper.exe[3376] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00090A08
.text C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 000903FC
.text C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00090804
.text C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 000901F8
.text C:\Program Files\iTunes\iTunesHelper.exe[3376] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00090600
.text C:\Windows\system32\SearchIndexer.exe[3408] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\system32\SearchIndexer.exe[3408] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\system32\SearchIndexer.exe[3408] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00100A08
.text C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001003FC
.text C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00100804
.text C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001001F8
.text C:\Windows\system32\SearchIndexer.exe[3408] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00100600
.text C:\Windows\system32\wbem\wmiprvse.exe[3440] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\system32\wbem\wmiprvse.exe[3440] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\system32\wbem\wmiprvse.exe[3440] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00110A08
.text C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001103FC
.text C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00110804
.text C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001101F8
.text C:\Windows\system32\wbem\wmiprvse.exe[3440] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00110600
.text C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 001703FC
.text C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 001701F8
.text C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 001A0A08
.text C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001A03FC
.text C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 001A0804
.text C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001A01F8
.text C:\Program Files\Common Files\Java\Java Update\jusched.exe[3456] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 001A0600
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00110A08
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001103FC
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00110804
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001101F8
.text C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe[3464] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00110600
.text C:\Program Files\Windows Sidebar\sidebar.exe[3476] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Program Files\Windows Sidebar\sidebar.exe[3476] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Program Files\Windows Sidebar\sidebar.exe[3476] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00120A08
.text C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001203FC
.text C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00120804
.text C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001201F8
.text C:\Program Files\Windows Sidebar\sidebar.exe[3476] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00120600
.text C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 001603FC
.text C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 001601F8
.text C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 001F0A08
.text C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001F03FC
.text C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 001F0804
.text C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001F01F8
.text C:\Program Files\Samsung\Kies\KiesTrayAgent.exe[3536] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 001F0600
.text C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3548] ntdll.dll!DbgUiRemoteBreakin 778FF17D 1 Byte [C3]
.text C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3548] KERNEL32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\iPod\bin\iPodService.exe[3616] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Program Files\iPod\bin\iPodService.exe[3616] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Program Files\iPod\bin\iPodService.exe[3616] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00200A08
.text C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 002003FC
.text C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00200804
.text C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 002001F8
.text C:\Program Files\iPod\bin\iPodService.exe[3616] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00200600
.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe[3772] KERNEL32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Users\***\Desktop\mvfjqsz8.exe[3820] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\System32\svchost.exe[4168] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\System32\svchost.exe[4168] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\System32\svchost.exe[4168] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\System32\svchost.exe[4168] user32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00330A08
.text C:\Windows\System32\svchost.exe[4168] user32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 003303FC
.text C:\Windows\System32\svchost.exe[4168] user32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00330804
.text C:\Windows\System32\svchost.exe[4168] user32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 003301F8
.text C:\Windows\System32\svchost.exe[4168] user32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00330600
.text C:\Windows\System32\svchost.exe[5424] ntdll.dll!LdrUnloadDll 778BC86E 5 Bytes JMP 000603FC
.text C:\Windows\System32\svchost.exe[5424] ntdll.dll!LdrLoadDll 778C223E 5 Bytes JMP 000601F8
.text C:\Windows\System32\svchost.exe[5424] kernel32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
.text C:\Windows\System32\svchost.exe[5424] USER32.dll!UnhookWindowsHookEx 75DDADF9 5 Bytes JMP 00190A08
.text C:\Windows\System32\svchost.exe[5424] USER32.dll!UnhookWinEvent 75DDB750 5 Bytes JMP 001903FC
.text C:\Windows\System32\svchost.exe[5424] USER32.dll!SetWindowsHookExW 75DDE30C 5 Bytes JMP 00190804
.text C:\Windows\System32\svchost.exe[5424] USER32.dll!SetWinEventHook 75DE24DC 5 Bytes JMP 001901F8
.text C:\Windows\System32\svchost.exe[5424] USER32.dll!SetWindowsHookExA 75E06D0C 5 Bytes JMP 00190600
.text C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe[5960] KERNEL32.dll!GetBinaryTypeW + 70 762169F4 1 Byte [62]
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [745824CB] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [7456562E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [745656EC] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [74582546] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [745785AA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74574D5E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74575105] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [745751DA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [74576707] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [74578301] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74578850] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [745790B1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7457E254] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[352] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74574C90] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1408] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [7258F6D0] C:\Program Files\Alwil Software\Avast5\aswCmnBS.dll (Common functions/AVAST Software)
IAT C:\Program Files\Alwil Software\Avast5\AvastUI.exe[3140] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [7258F6D0] C:\Program Files\Alwil Software\Avast5\aswCmnBS.dll (Common functions/AVAST Software)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)
AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
Device \Driver\ACPI_HAL \Device\00000049 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
was muss ich nun noch machen bzw. log. dateien ersetzten wie ich es hier lese nur auf meinen fall bezogen??? Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.01.02 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 *** :: ***-PC [Administrator] Schutz: Aktiviert 01.08.2012 08:23:58 mbam-log-2012-08-01 (08-23-58).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 355002 Laufzeit: 52 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
|
01.08.2012, 12:16
| #3 |
| /// Helfer-Team  | Rechner wurde gesperrt inkl. Web-Cam oben links Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL
DRV - (VGPU) -- System32\drivers\rdvgkmd.sys File not found
DRV - (tsusbhub) -- system32\drivers\tsusbhub.sys File not found
DRV - (Synth3dVsc) -- System32\drivers\synth3dvsc.sys File not found
DRV - (dgderdrv) -- System32\drivers\dgderdrv.sys File not found
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "www.t-online.de"
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.9.2
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.3: C:\Program Files\Battlelog Web Plugins\Sonar\0.70.3\npesnsonar.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.96.0: C:\Program Files\Battlelog Web Plugins\1.96.0\npesnlaunch.dll File not found
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
:Files
C:\Windows\MusiccityDownload.exe
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________ |
|
01.08.2012, 14:17
| #4 |
| | Rechner wurde gesperrt inkl. Web-Cam oben links Fixen mit otl durchlaufen - mit neustart u.a. ist mir eben aufgefallen, dass ich zwar zum tastmanager komme, dann aber die meldung kommt "tastmanager wurde durch den administrator deaktiviert" das habe ich natürlich nicht getan. hängt das auch mit dem trojaner zusammen? wie geht es nun weiter? vielen dank vorab Code:
ATTFilter All processes killed
========== OTL ==========
Service VGPU stopped successfully!
Service VGPU deleted successfully!
File System32\drivers\rdvgkmd.sys File not found not found.
Service tsusbhub stopped successfully!
Service tsusbhub deleted successfully!
File system32\drivers\tsusbhub.sys File not found not found.
Service Synth3dVsc stopped successfully!
Service Synth3dVsc deleted successfully!
File System32\drivers\synth3dvsc.sys File not found not found.
Service dgderdrv stopped successfully!
Service dgderdrv deleted successfully!
File System32\drivers\dgderdrv.sys File not found not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_USERS\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-2988279245-1238341215-2506597814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: "Google" removed from browser.search.selectedEngine
Prefs.js: "www.t-online.de" removed from browser.startup.homepage
Prefs.js: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems
Prefs.js: {e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.9.2 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.3\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@esn/esnlaunch,version=1.96.0\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
File move failed. C:\Windows\System32\mctadmin.exe scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
File move failed. C:\Windows\System32\mctadmin.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
========== FILES ==========
C:\Windows\MusiccityDownload.exe moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\***\Desktop\cmd.bat deleted successfully.
C:\Users\***\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: ***
->Temp folder emptied: 46310641 bytes
->Temporary Internet Files folder emptied: 749385 bytes
->Java cache emptied: 403932 bytes
->FireFox cache emptied: 54928744 bytes
->Flash cache emptied: 487 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 68973416 bytes
RecycleBin emptied: 1324534 bytes
Total Files Cleaned = 165,00 mb
[EMPTYFLASH]
User: All Users
User: Default
User: Default User
User: ***
->Flash cache emptied: 0 bytes
User: Public
Total Flash Files Cleaned = 0,00 mb
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.55.0 log created on 08012012_151102
Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\mctadmin.exe scheduled to be moved on reboot.
PendingFileRenameOperations files...
[2009.07.14 03:14:23 | 000,093,696 | ---- | M] (Microsoft Corporation) C:\Windows\System32\mctadmin.exe : MD5=BBA1A5B86134F496B926DDAF247DB871
Registry entries deleted on Reboot...
|
|
01.08.2012, 14:41
| #5 |
| /// Helfer-Team | Rechner wurde gesperrt inkl. Web-Cam oben links Sehr gut!  1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 2. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
|
01.08.2012, 17:09
| #6 |
| | Rechner wurde gesperrt inkl. Web-Cam oben links hier die beiden dateien Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.01.05 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 *** :: ***-PC [Administrator] Schutz: Aktiviert 01.08.2012 16:39:57 mbam-log-2012-08-01 (16-39-57).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 354350 Laufzeit: 50 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter # AdwCleaner v1.703 - Logfile created 08/01/2012 at 18:07:15
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)
# User : *** - ***-PC
# Running from : C:\Users\***\Desktop\adwcleaner.exe
# Option [Search]
***** [Services] *****
***** [Files / Folders] *****
***** [Registry] *****
Key Found : HKCU\Software\Zugo
Key Found : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
Key Found : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
***** [Registre - GUID] *****
Key Found : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Key Found : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.7601.17514
[OK] Registry is clean.
-\\ Mozilla Firefox v14.0.1 (de)
Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vh5yradv.default\prefs.js
[OK] File is clean.
*************************
AdwCleaner[R1].txt - [1237 octets] - [01/08/2012 18:07:15]
########## EOF - C:\AdwCleaner[R1].txt - [1365 octets] ##########
|
|
02.08.2012, 04:50
| #7 |
| /// Helfer-Team | Rechner wurde gesperrt inkl. Web-Cam oben links Sehr gut!
danach: Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html |
|
02.08.2012, 15:12
| #8 |
| | Rechner wurde gesperrt inkl. Web-Cam oben links hier die beiden dateien ich habe das programm von emsisoft noch offen, soll ich die dateien in quarantäne legen??? lt. anleitung ja, aber lt. deiner aussagte nichts löschen! Code:
ATTFilter # AdwCleaner v1.703 - Logfile created 08/02/2012 at 11:02:39
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)
# User : *** - ***-PC
# Running from : C:\Users\***\Desktop\adwcleaner.exe
# Option [Delete]
***** [Services] *****
***** [Files / Folders] *****
***** [Registry] *****
Key Deleted : HKCU\Software\Zugo
Key Deleted : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
***** [Registre - GUID] *****
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.7601.17514
[OK] Registry is clean.
-\\ Mozilla Firefox v14.0.1 (de)
Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vh5yradv.default\prefs.js
[OK] File is clean.
*************************
AdwCleaner[R1].txt - [1366 octets] - [01/08/2012 18:07:15]
AdwCleaner[S1].txt - [1311 octets] - [02/08/2012 11:02:39]
########## EOF - C:\AdwCleaner[S1].txt - [1439 octets] ##########
Code:
ATTFilter Emsisoft Anti-Malware - Version 6.6
Letztes Update: 02.08.2012 14:53:18
Scan Einstellungen:
Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An
Scan Beginn: 02.08.2012 14:53:31
D:\Programme\Windows 7 Loader.exe.vir gefunden: possible-Threat.Loader.Win7!E2
D:\Programme\7Loader 1.6 by Hazar´s.exe gefunden: Trojan.Win32.Dropper!E1
D:\Programme\neuinstall\Windows 7 Loader v1.7.7r.zip.vir -> Windows 7 Loader\Windows 7 Loader.exe gefunden: possible-Threat.Loader.Win7!E2
D:\Programme\Helium Music Manager (2009) - build 6910 multilang\Keygen.exe.vir gefunden: Virus.Win32.Obfuscator!E2
D:\Programme\neuinstall\Windows 7 Loader\Windows 7 Loader.exe.vir gefunden: possible-Threat.Loader.Win7!E2
D:\Programme\neuinstall\Windows 7 Loader 1.6.9 by Daz (x86 & x64)\Windows 7 Loader.exe gefunden: Trojan-Dropper.Win32.Mudrop.jtt!E1
D:\***\Downloads\Intertops.exe gefunden: possible-Threat.Casino!E2
Gescannt 614616
Gefunden 7
Scan Ende: 02.08.2012 15:37:45
Scan Zeit: 0:44:14
|
|
02.08.2012, 15:17
| #9 |
| /// Helfer-Team | Rechner wurde gesperrt inkl. Web-Cam oben links Sehr gut! Deinstalliere: Emsisoft Anti-Malware ESET Online Scanner Vorbereitung
|
|
02.08.2012, 19:23
| #10 |
| | Rechner wurde gesperrt inkl. Web-Cam oben links emsi deinstall ok eset scan durchlaufen, dann auf finish, aber ich habe keine log.txt datei??? das programm liegt richtig unter programme, eset, dort habe ich den unterordner esetonlinescanner mit 3 dateien (.ocx / app / und uninstaller) plus den unterordner quarantine mit 3 dateien allerdings nirgens eine .txt - und nun? gefunden wurden allerdings (glaube) 3 bedrohungen ich lasse es gerade nochmal durchlaufen, vlt. hab ich was falsch gemacht - jetzt wo er läuft hab ich 1x explorer geschaut und sofort (zeitgleich) eine log.txt gesehen - hier nun der bericht (bin mir aber sicher, dass ich vorher 3 bedrohungen dort gesehen hatte Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=295eeba10e357d4d9a9471924e3a9780
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-02 09:54:05
# local_time=2012-08-02 11:54:05 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=768 16777215 100 0 45960729 45960729 0 0
# compatibility_mode=5893 16776574 100 94 25667 95566780 0 0
# compatibility_mode=8192 67108863 100 0 11365 11365 0 0
# scanned=333631
# found=0
# cleaned=0
# scan_time=8856
Geändert von woodeye (02.08.2012 um 19:44 Uhr) |
|
03.08.2012, 13:35
| #11 |
| /// Helfer-Team | Rechner wurde gesperrt inkl. Web-Cam oben links Malware mit Combofix beseitigen Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Beachte die ausführliche Original-Anleitung. Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
Vorbereitung und wichtige Hinweise
Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
|
03.08.2012, 13:59
| #12 |
| | Rechner wurde gesperrt inkl. Web-Cam oben links hi john ich lese gerade den untersten satz (combofix kann den rechner lahmlegen) also ich gehe davon aus, dass es bei mir also erforderlich ist. ich komm schon gar nicht mehr hinterher, was ich nun alles gemacht habe. du kannst mir gerne auch eine pn senden und mir mal mitteilen, warum dies alles sein muss bzw. ob es nur am bundespolizei trojaner lag??? also ich führe nun o.a. sachen durch alles durchgelaufen Code:
ATTFilter ComboFix 12-07-31.06 - *** 03.08.2012 18:37:50.1.4 - x86
Microsoft Windows 7 Ultimate 6.1.7601.1.1252.49.1031.18.3325.2268 [GMT 2:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\***\AppData\Local\Temp\99cab429-f99d-4f69-9d04-113ad532bd0f\CliSecureRT.dll
c:\users\***\AppData\Roaming\Roaming
c:\users\***\AppData\Roaming\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#schnueffelbande2.com\settings.sol
c:\users\***\AppData\Roaming\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol
c:\windows\7Loader.TAG
c:\windows\msvcr71.dll
c:\windows\system32\muzapp.exe
D:\install.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-07-03 bis 2012-08-03 ))))))))))))))))))))))))))))))
.
.
2012-08-03 16:43 . 2012-08-03 16:43 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-03 16:25 . 2012-06-26 07:02 30568 ----a-w- c:\windows\MusiccityDownload.exe
2012-08-02 09:06 . 2012-08-02 16:13 -------- d-----w- c:\program files\Emsisoft Anti-Malware
2012-08-01 13:11 . 2012-08-01 13:11 -------- d-----w- C:\_OTL
2012-07-31 17:59 . 2012-07-31 17:59 -------- d-----w- c:\users\***\AppData\Roaming\Malwarebytes
2012-07-31 17:59 . 2012-07-31 17:59 -------- d-----w- c:\programdata\Malwarebytes
2012-07-31 17:59 . 2012-07-31 17:59 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-07-31 17:59 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-31 13:15 . 2012-07-31 13:15 -------- d-----w- C:\found.001
2012-07-31 13:08 . 2012-07-03 16:21 44784 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2012-07-31 13:05 . 2012-06-29 08:44 6891424 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{0E2E23EF-0A60-4EA9-B9B1-3F448F976BC9}\mpengine.dll
2012-07-31 10:45 . 2012-07-31 10:45 -------- d-----w- C:\found.000
2012-07-12 20:41 . 2012-06-12 02:40 2345984 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-03 16:21 . 2011-02-17 21:34 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-07-03 16:21 . 2011-06-10 11:27 721000 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-07-03 16:21 . 2011-02-17 21:34 353688 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-07-03 16:21 . 2011-02-17 21:34 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-07-03 16:21 . 2011-02-17 21:34 57656 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2012-07-03 16:21 . 2011-02-17 21:34 41224 ----a-w- c:\windows\avastSS.scr
2012-07-03 16:21 . 2011-02-17 21:34 227648 ----a-w- c:\windows\system32\aswBoot.exe
2012-06-26 07:02 . 2011-01-04 15:10 330240 ----a-w- c:\windows\MASetupCaller.dll
2012-06-26 07:02 . 2011-01-05 21:22 24576 ----a-w- c:\windows\system32\MASetupCleaner.exe
2012-06-26 07:02 . 2011-01-04 15:10 45320 ----a-w- c:\windows\system32\MAMACExtract.dll
2012-06-02 22:19 . 2012-06-28 16:32 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-28 16:32 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-28 16:32 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-28 16:32 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-28 16:32 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-28 16:32 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-28 16:32 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-28 16:32 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-02 13:12 . 2012-06-28 16:32 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-05-31 10:25 . 2011-02-17 21:45 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-05-15 03:03 . 2012-06-12 20:48 981504 ----a-w- c:\windows\system32\wininet.dll
2012-07-24 18:18 . 2011-04-25 21:05 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-07-03 16:21 121528 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2012-07-16 3524536]
"KiesPDLR"="c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-07-16 21432]
"KiesPreload"="c:\program files\Samsung\Kies\Kies.exe" [2012-07-16 975800]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2009-11-18 54576]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"UVS11 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-03-03 341488]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-09-08 343168]
"Spawn Gaming Mouse"="c:\program files\CM Storm\Spawn Gaming Mouse\Spawn_Icon.exe" [2010-12-15 135168]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [x]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [x]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [x]
S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\i386\AODDriver2.sys [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [x]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S3 amdiox86;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox86.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [x]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://mirostart.com/?cfg=2-365-0-3dKm0
IE: Free YouTube to MP3 Converter - c:\users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vh5yradv.default\
FF - prefs.js: browser.search.selectedEngine -
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\program files\Samsung\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\program files\Samsung\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\program files\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\program files\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\program files\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\program files\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\program files\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-21_Searsburg - c:\program files\Samsung\USB Drivers\21_Searsburg\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\program files\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
AddRemove-26_VIA_driver2 - c:\program files\Samsung\USB Drivers\26_VIA_driver2\Uninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\atieclxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\taskhost.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\InterVideo\DeviceService\DevSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\conhost.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-03 18:49:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-08-03 16:49
.
Vor Suchlauf: 9 Verzeichnis(se), 136.416.980.992 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 136.404.942.848 Bytes frei
.
- - End Of File - - 1E84398BFFE6940AEFFD4D5833FCFE35
Code:
ATTFilter 32 Bit HP CIO Components Installer Adobe Flash Player 10 ActiveX Adobe Flash Player 11 Plugin Adobe Reader X (10.1.3) - Deutsch AMD APP SDK Runtime AMD Catalyst Install Manager AMD Drag and Drop Transcoding AMD Fuel AMD Media Foundation Decoders AMD VISION Engine Control Center Apple Application Support Apple Mobile Device Support Apple Software Update ASUS USB2.0 Webcam avast! Free Antivirus Battlefield 3™ Bonjour BufferChm C4700 Catalyst Control Center - Branding Catalyst Control Center Graphics Previews Common Catalyst Control Center InstallProxy ccc-utility CCC Help English CCleaner CDBurnerXP CPUID CPU-Z 1.58 Destinations DeviceDiscovery DH Driver Cleaner Professional Edition DHTML Editing Component DVDFab 8.0.3.2 (30/10/2010) ESN Sonar EVEREST Ultimate Edition v5.30 Free Audio CD Burner version 1.4.7 Free Audio CD to MP3 Converter version 1.3.11.718 Free DVD Video Converter version 1.5.15.712 Free YouTube to MP3 Converter version 3.10.7.804 GIMP 2.6.11 GPBaseService2 Hotfix for Microsoft .NET Framework 4 Client Profile (KB2461678) HP Customer Participation Program 14.0 HP Imaging Device Functions 14.0 HP Photosmart C4700 All-in-One Driver Software 14.0 Rel. 6 HP Smart Web Printing 4.60 HP Solution Center 14.0 HP Update HPPhotoGadget HPProductAssistant HPSSupply InterVideo DeviceService iTunes Java Auto Updater Java(TM) 6 Update 24 Java(TM) 7 Update 4 JavaFX 2.1.0 LifeFrame2 Malwarebytes Anti-Malware Version 1.62.0.1300 MarketResearch Microsoft .NET Framework 4 Client Profile Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 Miro Mozilla Firefox 14.0.1 (x86 de) Mozilla Maintenance Service Mozilla Thunderbird 14.0 (x86 de) MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 (KB973688) Network OpenOffice.org 3.3 Origin Paint.NET v3.5.7 PS_AIO_06_C4700_SW_Min PunkBuster Services QuickTime QuickTransfer Ravensburger tiptoi Samsung Kies SAMSUNG USB Driver for Mobile Phones Scan Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708) Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636) Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078) Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121) Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405) Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870) Shop for HP Supplies Skype Toolbars Skype™ 5.1 SmartSound Quicktracks Plugin SmartWebPrinting SolutionCenter Spawn Gaming Mouse SpeedSim Spider Player 2.5.3 Status TeamSpeak 3 Client Toolbox TOPP Vorlagen-Druckstudio (5556) TrayApp Turbo Lister 2 Ulead VideoStudio 11 UltraISO Premium V9.51 Uninstall 1.0.0.1 Update for Microsoft .NET Framework 4 Client Profile (KB2468871) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) VideoStudio VLC media player 1.1.7 WebReg Windows Media Encoder 9 Series WinRAR |
|
04.08.2012, 18:54
| #13 |
| /// Helfer-Team | Rechner wurde gesperrt inkl. Web-Cam oben links Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html |
|
04.08.2012, 21:41
| #14 |
| | Rechner wurde gesperrt inkl. Web-Cam oben links so java nun aktuell + eine ältere deinstalliert dateien gelöscht aber nun folgendes problem. du hast geschrieben ich soll alle 3 haken setzten > hab ich gemacht, dann neustart. danach habe ich die java update anleitung angeschaut und alles so verändert. da heisst es - Benachrichtigung ausgeben => Vor der Installation - Haken machen bei Automatisch nach Aktualisierung suchen - Button Erweitert => auf Wöchentlich einstellen => Ok und unter button löschen soll man ja Haken setzen bei: Anwendungen und Applets und Verfolgungs- und Protokolldateien => OK aber welche anwendungen??? - gecachte oder intallierte???? außerdem wenn ich alles umstelle und dann java schließe, neu öffe sind folgende einstellungen wieder auf standart - vor der installation - wöchentlich es steht dann immer wieder auf - vor dem download und auf - monatlich eigentlich habe ich alles richtig gemacht! was bleibt, wenn ich java öffne ist - haken bleibt weg bei und wenn ich java öffne bei temporäre dateien auf rechner behalten aber wenn ich dann wieder auf dateien löschen klicke erscheint nur noch ein haken bei - trace und logdateien wie ich wohl annehme, ist nun mein system bereinigt, dennoch folgende fragen - was mache ich mit den gesamten installierten programmen um das system zu bereinigen - was mache ich mit dem trojaner in quarantäne usw. usw. reicht zb. avast oder soll ich etwas von den maleware programmen auf dem rechner belassen? anti-malware |
|
05.08.2012, 01:17
| #15 |
| /// Helfer-Team | Rechner wurde gesperrt inkl. Web-Cam oben links Sehr gut! damit bist Du sauber und entlassen!  Combofix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren. Start => Ausführen => dort reinschreiben ComboFix /Uninstall => Enter drücken Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst. Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Aufräumen mit CCleaner Lasse mit CCleaner (Download) (Anleitung) Fehler in der
Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html |
|
| Themen zu Rechner wurde gesperrt inkl. Web-Cam oben links |
| anleitung, anti-malware, bild, chip, dateien, festplatte, folge, gen, gesperrt, handy, kaspersky, laptop, link, links, locker, löschen, malwarebytes, microsoft, neustart, programm, rechner, scan, software, system, unlocker, windows, windows unlocker, windows unlocker kaspersky, ändern |
Linear-Darstellung
