| |
| |||||||
Log-Analyse und Auswertung: Windows XP, Agent-ARRQ, Rootkid-Gen, Generic-IFWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.09.2013, 16:56
| #1 |
| |  Windows XP, Agent-ARRQ, Rootkid-Gen, Generic-IF Hallo zusammen, auf dem Rechner meiner Nichte hat Avira einen Virus gefunden, den sie gelöscht hat (leider weis sie nicht mehr welcher es war). Danach hat sie mich angerufen und nach einen neuen Antivir Programm gefragt, weil ich damit zufrieden bin habe ich ihr Avast in Verbindung mit Secure-Banking empfohlen. Nachdem sie diese installiert hatte meldete Avast erneut einen Virus: Win32:Agent-ARRQ[Trj]. Da sie nicht mehr weiter wusste brachte sie den Rechner zu mir. Ich habe dann noch eine Startzeit-Prüfung gemacht und dort wurde Avast gut fündig. ? Gestern habe ich nach Anweisung in der FAQ Defogger, FRST und GMER laufen lassen, danach ADW-Cleaner- Malwarebyets und Eset-Online. Alle drei keine Funde. Avast hat nach heutiger Schnellüberprüfung auch nichts mehr gefunden. Defogger habe ich danach Re-Enabled, Delfix noch nicht ausgeführt. Frage wäre, ob der Rechner nun wirklich Virenfrei ist? Logfiles von Adw, Malware und Eset als Zip im Anhang. Log Avast Code:
ATTFilter 09/03/2013 23:45
Prüfung aller lokalen Laufwerke
Datei C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\winrar.exe|>nsis.hdr ist infiziert von NSIS:DomaIQ-B [PUP], Gelöscht
Datei C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\winrar.exe|>$INSTDIR\DomaIQ10.exe ist infiziert von Win32:DomaIQ-R [PUP], Gelöscht
Datei C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\winrar.exe|>$INSTDIR\DomaIQ.exe ist infiziert von Win32:DomaIQ-N [PUP], Gelöscht
Datei C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\winrar.exe ist infiziert von Win32:DomaIQ-T [PUP], Gelöscht
Datei C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\zipper_V.5741552.exe|>nsis.hdr ist infiziert von NSIS:DomaIQ-B [PUP], Gelöscht
Datei C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\zipper_V.5741552.exe|>$INSTDIR\DomaIQ10.exe ist infiziert von Win32:DomaIQ-R [PUP], Gelöscht
Datei C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\zipper_V.5741552.exe|>$INSTDIR\DomaIQ.exe ist infiziert von Win32:DomaIQ-N [PUP], Gelöscht
Datei C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\zipper_V.5741552.exe ist infiziert von Win32:DomaIQ-T [PUP], Gelöscht
Datei C:\System Volume Information\_restore{C9D9A6AD-546D-414B-A7B6-A18B2ECA9751}\RP514\A0057388.exe ist infiziert von Win32:Rootkit-gen [Rtk], In Container verschoben
Datei C:\System Volume Information\_restore{C9D9A6AD-546D-414B-A7B6-A18B2ECA9751}\RP516\A0058364.exe ist infiziert von Win32:Agent-ARRQ [Trj], In Container verschoben
Datei C:\WINDOWS\system32\FlashPlayerUpdateService.exe ist infiziert von Win32:Agent-ARRQ [Trj], In Container verschoben
Datei C:\WINDOWS\Temp\_avast_\unp5628054.tmp ist infiziert von Win32:Agent-ARRQ [Trj], In Container verschoben
Datei D:\Publish\www\x_diver\xdiver.exe ist infiziert von Win32:Generic-IF [Dialer], In Container verschoben
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_004.part1.rar|>Naruto_004.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_005.part1.rar|>Naruto_005.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_006.part1.rar|>Naruto_006.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_007.part1.rar|>Naruto_007.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_008.part1.rar|>Naruto_008.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_009.part1.rar|>Naruto_009.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_010.part1.rar|>Naruto_010.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_043.part1.rar|>Naruto_043.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Eigene Bilder\Gazette\Bilder\[469 screencaps] the GazettE - No. [666] PV.zip|>No. [666]\snapshot20070821000751.jpg Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei D:\System Volume Information\_restore{C9D9A6AD-546D-414B-A7B6-A18B2ECA9751}\RP516\A0058367.exe ist infiziert von Win32:Generic-IF [Dialer], In Container verschoben
Datei E:\Ines\zipper_V.5741552.exe|>nsis.hdr ist infiziert von NSIS:DomaIQ-B [PUP], In Container verschoben
Datei E:\Ines\zipper_V.5741552.exe|>$INSTDIR\DomaIQ10.exe ist infiziert von Win32:DomaIQ-R [PUP], In Container verschoben
Datei E:\Ines\zipper_V.5741552.exe|>$INSTDIR\DomaIQ.exe ist infiziert von Win32:DomaIQ-N [PUP], In Container verschoben
Datei E:\Ines\zipper_V.5741552.exe ist infiziert von Win32:DomaIQ-T [PUP], In Container verschoben
Datei E:\System Volume Information\_restore{C9D9A6AD-546D-414B-A7B6-A18B2ECA9751}\RP516\A0058368.exe|>nsis.hdr ist infiziert von NSIS:DomaIQ-B [PUP], In Container verschoben
Datei E:\System Volume Information\_restore{C9D9A6AD-546D-414B-A7B6-A18B2ECA9751}\RP516\A0058368.exe|>$INSTDIR\DomaIQ10.exe ist infiziert von Win32:DomaIQ-R [PUP], In Container verschoben
Datei E:\System Volume Information\_restore{C9D9A6AD-546D-414B-A7B6-A18B2ECA9751}\RP516\A0058368.exe|>$INSTDIR\DomaIQ.exe ist infiziert von Win32:DomaIQ-N [PUP], In Container verschoben
Datei E:\System Volume Information\_restore{C9D9A6AD-546D-414B-A7B6-A18B2ECA9751}\RP516\A0058368.exe ist infiziert von Win32:DomaIQ-T [PUP], In Container verschoben
Anzahl durchsuchter Ordner: 5488
Anzahl der geprüften Dateien: 461133
Anzahl infizierter Dateien: 22
----------------------------------------
09/04/2013 18:59
Prüfung aller lokalen Laufwerke
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_004.part1.rar|>Naruto_004.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_005.part1.rar|>Naruto_005.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_006.part1.rar|>Naruto_006.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_007.part1.rar|>Naruto_007.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_008.part1.rar|>Naruto_008.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_009.part1.rar|>Naruto_009.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_010.part1.rar|>Naruto_010.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Anime\Naruto\Naruto_043.part1.rar|>Naruto_043.avi Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Sarah\Sarah\Eigene Bilder\Gazette\Bilder\[469 screencaps] the GazettE - No. [666] PV.zip|>No. [666]\snapshot20070821000751.jpg Fehler 42125 {ZIP-Archiv ist beschädigt.}
Anzahl durchsuchter Ordner: 5827
Anzahl der geprüften Dateien: 461737
Anzahl infizierter Dateien: 0
Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 04-09-2013
Ran by Admin (administrator) on ADMIN-PC on 04-09-2013 21:25:06
Running from C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads
Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal
==================== Processes (Whitelisted) ===================
(AVAST Software) C:\Programme\AVAST Software\Avast\AvastSvc.exe
(Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.EXE
(Lexar Media, Inc.) C:\WINDOWS\system32\LxrSII1s.exe
(Malwarebytes Corporation) C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
(Microsoft Corporation) C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
(CANON INC.) C:\Programme\Canon\MyPrinter\BJMyPrt.exe
(Nuance Communications, Inc.) D:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
(Cyberlink Corp.) C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
(AVAST Software) C:\Programme\AVAST Software\Avast\avastUI.exe
() C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Lexar Media\LxrAutorun.exe
(Nero AG) C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
(Malwarebytes Corporation) C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
(Freecom) C:\WINDOWS\Temp\Password.exe
(Microsoft Corporation) C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
(NVIDIA Corporation) C:\WINDOWS\system32\nvsvc32.exe
(Malwarebytes Corporation) C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
() C:\Programme\Tor\tor.exe
(Secure Banking) C:\Programme\Secure Banking\SecureBanking.exe
() C:\Programme\Secure Banking\sbservice.exe
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [NvCplDaemon] - C:\WINDOWS\system32\NvCpl.dll [13895272 2011-06-15] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] - C:\WINDOWS\system32\NvMcTray.dll [111208 2011-06-15] (NVIDIA Corporation)
HKLM\...\Run: [RTHDCPL] - C:\Windows\RTHDCPL.EXE [17331200 2008-10-28] (Realtek Semiconductor Corp.)
HKLM\...\Run: [NeroFilterCheck] - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [155648 2006-01-12] (Nero AG)
HKLM\...\Run: [GrooveMonitor] - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation)
HKLM\...\Run: [CanonMyPrinter] - C:\Programme\Canon\MyPrinter\BJMyPrt.exe [2569616 2010-07-26] (CANON INC.)
HKLM\...\Run: [CanonSolutionMenu] - C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe [644696 2007-05-14] (CANON INC.)
HKLM\...\Run: [SSBkgdUpdate] - C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [210472 2006-10-25] (Nuance Communications, Inc.)
HKLM\...\Run: [OpwareSE4] - D:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe [79400 2007-02-04] (Nuance Communications, Inc.)
HKLM\...\Run: [BluetoothAuthenticationAgent] - rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent [x]
HKLM\...\Run: [Adobe ARM] - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [RemoteControl] - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [32768 2004-11-02] (Cyberlink Corp.)
HKLM\...\Run: [Alcmtr] - C:\Windows\ALCMTR.EXE [57344 2008-06-19] (Realtek Semiconductor Corp.)
HKLM\...\Run: [avast] - C:\Programme\AVAST Software\Avast\avastUI.exe [4858968 2013-08-30] (AVAST Software)
HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun] 255
HKCU\...\Run: [LxrAutorun] - C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Lexar Media\LxrAutorun.exe [24576 2006-11-09] ()
HKCU\...\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [94208 2006-04-21] (Nero AG)
HKCU\...\Run: [SecureBanking] - C:\Programme\Secure Banking\SecureBanking.exe [507904 2013-06-30] (Secure Banking)
HKCU\...\Policies\Explorer: [NoDriveTypeAutoRun] 255
MountPoints2: {2d663226-c28a-11e0-9eaf-0021979b8f6c} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
MountPoints2: {a333485b-03b0-11e1-9f2e-0021979b8f6c} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
MountPoints2: {bfecb07e-bc58-11e0-9ea1-0021979b8f6c} - I:\Password.exe
MountPoints2: {c2cecd56-630d-11e2-a664-0021979b8f6c} - I:\Password.exe
MountPoints2: {cefd6a27-bc30-11e0-b523-d0a1f393e834} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\Default User\...\RunOnce: [NeroHomeFirstStart] - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe [ 2006-04-21] (Nero AG)
Startup: C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Password.lnk
ShortcutTarget: Password.lnk -> C:\WINDOWS\Temp\Password.exe (Freecom)
==================== Internet (Whitelisted) ====================
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
URLSearchHook: (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File
SearchScopes: HKLM - DefaultScope value is missing.
BHO: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL (Microsoft Corporation)
BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)
BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
Toolbar: HKLM - avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
Toolbar: HKCU -No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} hxxp://fichiers.touslesdrivers.com/maconfig/MaConfig_5_1_4_0.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL (Microsoft Corporation)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\GEMEIN~1\SYSTEM\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\GEMEIN~1\SYSTEM\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\GEMEIN~1\SYSTEM\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\GEMEIN~1\SYSTEM\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\GEMEIN~1\SYSTEM\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\GEMEIN~1\SYSTEM\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\GEMEIN~1\SYSTEM\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL (Skype Technologies)
ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2210608 2006-10-27] (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\ufh0vzmc.default
FF NewTab: user_pref("browser.newtab.url", "");
FF SelectedSearchEngine: user_pref("browser.search.selectedEngine", "");
FF Homepage: hxxp://www.google.de/
FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF Plugin: @adobe.com/ShockwavePlayer - C:\WINDOWS\system32\Adobe\Director\np32dsw_1203133.dll (Adobe Systems, Inc.)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\ufh0vzmc.default\searchplugins\englische-ergebnisse.xml
FF SearchPlugin: C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\ufh0vzmc.default\searchplugins\gmx-suche.xml
FF SearchPlugin: C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\ufh0vzmc.default\searchplugins\lastminute.xml
FF SearchPlugin: C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\ufh0vzmc.default\searchplugins\webde-suche.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: Bitdefender QuickScan - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\ufh0vzmc.default\Extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
FF Extension: toolbar - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\ufh0vzmc.default\Extensions\toolbar@web.de.xpi
FF HKLM\...\Firefox\Extensions: [wrc@avast.com] C:\Programme\AVAST Software\Avast\WebRep\FF
FF Extension: avast! Online Security - C:\Programme\AVAST Software\Avast\WebRep\FF
========================== Services (Whitelisted) =================
S2 aannx; C:\Windows\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation)
R2 avast! Antivirus; C:\Programme\AVAST Software\Avast\AvastSvc.exe [46808 2013-08-30] (AVAST Software)
R2 LxrSII1s; C:\WINDOWS\system32\LxrSII1s.exe [65536 2009-12-30] (Lexar Media, Inc.)
R2 MBAMScheduler; C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
R2 MBAMService; C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
S3 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [65824 2006-10-27] (Microsoft Corporation)
S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [115168 2012-10-15] (Mozilla Foundation)
S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [441136 2006-10-26] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [162672 2013-07-25] (Skype Technologies)
R2 tor; C:\Programme\Tor\tor.exe [3233806 2013-09-01] ()
==================== Drivers (Whitelisted) ====================
R2 aswFsBlk; C:\Windows\System32\Drivers\aswFsBlk.sys [29816 2013-08-30] (AVAST Software)
R2 aswMonFlt; C:\WINDOWS\system32\drivers\aswMonFlt.sys [66336 2013-08-30] (AVAST Software)
R1 AswRdr; C:\Windows\System32\Drivers\AswRdr.sys [49760 2013-08-30] (AVAST Software)
R0 aswRvrt; C:\Windows\System32\Drivers\aswRvrt.sys [49376 2013-08-30] ()
R1 aswSnx; C:\Windows\System32\Drivers\aswSnx.sys [770344 2013-08-30] (AVAST Software)
R1 aswSP; C:\Windows\System32\Drivers\aswSP.sys [369584 2013-08-30] (AVAST Software)
R1 aswTdi; C:\Windows\System32\Drivers\aswTdi.sys [56080 2013-08-30] (AVAST Software)
R0 aswVmm; C:\Windows\System32\Drivers\aswVmm.sys [177864 2013-08-30] ()
R2 LxrSII1d; C:\WINDOWS\System32\Drivers\LxrSII1d.sys [63448 2009-12-30] (Lexar Media, Inc.)
R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
S3 MOSUMAC; C:\Windows\System32\DRIVERS\MOSUMAC.SYS [37632 2007-03-08] (--)
R3 NVENETFD; C:\Windows\System32\DRIVERS\NVENETFD.sys [54784 2008-08-01] (NVIDIA Corporation)
R3 nvnetbus; C:\Windows\System32\DRIVERS\nvnetbus.sys [22016 2008-08-01] (NVIDIA Corporation)
R1 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [5632 2006-07-24] ()
S4 IntelIde; No ImagePath
U1 WS2IFSL;
==================== NetSvcs (Whitelisted) ===================
NETSVC: aannx -> No Registry Path.
==================== One Month Created Files and Folders ========
2013-09-04 21:14 - 2013-09-04 21:14 - 00000000 _____ C:\Dokumente und Einstellungen\Admin\defogger_reenable
2013-09-04 21:11 - 2013-09-04 21:11 - 00000000 ____D C:\Programme\Secure Banking
2013-09-03 23:37 - 2013-09-03 23:37 - 00001653 _____ C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
2013-09-03 23:37 - 2013-09-03 23:37 - 00000306 ____H C:\WINDOWS\Tasks\avast! Emergency Update.job
2013-09-03 23:37 - 2013-08-30 09:48 - 00770344 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSnx.sys
2013-09-03 23:37 - 2013-08-30 09:48 - 00369584 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSP.sys
2013-09-03 23:37 - 2013-08-30 09:48 - 00177864 _____ C:\WINDOWS\system32\Drivers\aswVmm.sys
2013-09-03 23:37 - 2013-08-30 09:48 - 00066336 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswMonFlt.sys
2013-09-03 23:37 - 2013-08-30 09:48 - 00056080 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswTdi.sys
2013-09-03 23:37 - 2013-08-30 09:48 - 00049760 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswRdr.sys
2013-09-03 23:37 - 2013-08-30 09:48 - 00049376 _____ C:\WINDOWS\system32\Drivers\aswRvrt.sys
2013-09-03 23:37 - 2013-08-30 09:48 - 00029816 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswFsBlk.sys
2013-09-03 23:37 - 2013-08-30 09:47 - 00229648 _____ (AVAST Software) C:\WINDOWS\system32\aswBoot.exe
2013-09-03 23:35 - 2013-08-30 09:47 - 00041664 _____ (AVAST Software) C:\WINDOWS\avastSS.scr
2013-09-03 23:33 - 2013-09-03 23:33 - 00000000 ____D C:\Programme\AVAST Software
2013-09-03 23:16 - 2013-09-03 23:16 - 00001492 _____ C:\WINDOWS\setupapi.log
2013-09-03 22:12 - 2013-09-03 22:12 - 00000000 ___RD C:\Programme\Skype
2013-09-03 22:12 - 2013-09-03 22:12 - 00000000 ____D C:\Programme\Gemeinsame Dateien\Skype
2013-09-03 22:07 - 2013-09-03 23:19 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Tracing
2013-09-03 22:05 - 2013-09-03 22:06 - 00000000 ____D C:\Programme\Windows Live
2013-09-03 22:05 - 2013-09-03 22:05 - 00000000 ____D C:\Programme\Windows Live SkyDrive
2013-09-03 22:02 - 2013-09-03 22:02 - 00000000 ____D C:\Programme\Gemeinsame Dateien\Windows Live
2013-09-03 21:44 - 2008-10-16 14:09 - 00043544 _____ (Microsoft Corporation) C:\WINDOWS\system32\wups2.dll
2013-09-03 21:44 - 2008-10-16 14:08 - 00031768 _____ (Microsoft Corporation) C:\WINDOWS\system32\wucltui.dll.mui
2013-09-03 21:44 - 2008-10-16 14:08 - 00027672 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuaucpl.cpl.mui
2013-09-03 21:44 - 2008-10-16 14:08 - 00027672 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuapi.dll.mui
2013-09-03 21:44 - 2008-10-16 14:07 - 00018968 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuaueng.dll.mui
2013-09-03 21:35 - 2013-09-03 21:35 - 00000000 __SHD C:\Dokumente und Einstellungen\Admin\IECompatCache
2013-09-03 21:27 - 2013-09-03 21:28 - 00005430 _____ C:\DelFix.txt
2013-09-03 21:27 - 2013-09-03 21:27 - 00000000 ____D C:\WINDOWS\ERUNT
2013-09-03 17:23 - 2013-09-03 17:23 - 00000756 _____ C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
2013-09-03 17:23 - 2013-09-03 17:23 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2013-09-03 17:22 - 2013-09-03 17:23 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-09-03 17:22 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2013-09-03 17:04 - 2013-09-03 17:04 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Easeware
2013-09-03 16:40 - 2013-09-04 20:47 - 00035395 _____ C:\WINDOWS\WindowsUpdate.log
2013-09-03 14:41 - 2013-09-03 16:40 - 00000000 ____D C:\AdwCleaner
2013-09-02 21:43 - 2013-09-02 21:43 - 00000000 ____D C:\Programme\ESET
2013-09-01 15:27 - 2013-09-01 15:27 - 00000000 ____D C:\Programme\Tor
2013-08-19 17:19 - 2013-08-19 17:19 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\CallingID
2013-08-19 13:37 - 2013-08-19 13:37 - 00000000 ___RD C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Verwaltung
2013-08-19 12:37 - 2013-08-19 12:38 - 00000000 ____D C:\WINDOWS\pss
==================== One Month Modified Files and Folders =======
2013-09-04 21:24 - 2013-09-04 21:24 - 00000000 ____D C:\FRST
2013-09-04 21:14 - 2013-09-04 21:14 - 00000000 _____ C:\Dokumente und Einstellungen\Admin\defogger_reenable
2013-09-04 21:14 - 2011-08-01 13:24 - 00000000 ____D C:\Dokumente und Einstellungen\Admin
2013-09-04 21:11 - 2013-09-04 21:11 - 00000000 ____D C:\Programme\Secure Banking
2013-09-04 21:11 - 2011-08-01 14:06 - 00000000 ___RD C:\Programme
2013-09-04 20:51 - 2011-08-01 14:07 - 01065280 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2013-09-04 20:47 - 2013-09-03 16:40 - 00035395 _____ C:\WINDOWS\WindowsUpdate.log
2013-09-04 18:58 - 2011-08-01 13:24 - 00000190 ___SH C:\Dokumente und Einstellungen\Admin\ntuser.ini
2013-09-03 23:37 - 2013-09-03 23:37 - 00001653 _____ C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
2013-09-03 23:37 - 2013-09-03 23:37 - 00000306 ____H C:\WINDOWS\Tasks\avast! Emergency Update.job
2013-09-03 23:37 - 2011-08-01 13:16 - 00002951 _____ C:\WINDOWS\system32\CONFIG.NT
2013-09-03 23:33 - 2013-09-03 23:33 - 00000000 ____D C:\Programme\AVAST Software
2013-09-03 23:19 - 2013-09-03 22:07 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Tracing
2013-09-03 23:18 - 2011-08-01 14:24 - 00000000 ____D C:\Programme\WinRAR
2013-09-03 23:16 - 2013-09-03 23:16 - 00001492 _____ C:\WINDOWS\setupapi.log
2013-09-03 22:51 - 2012-08-06 19:53 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Registery_Eintraege
2013-09-03 22:26 - 2012-04-08 17:07 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
2013-09-03 22:15 - 2011-11-18 21:52 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\QuickScan
2013-09-03 22:12 - 2013-09-03 22:12 - 00000000 ___RD C:\Programme\Skype
2013-09-03 22:12 - 2013-09-03 22:12 - 00000000 ____D C:\Programme\Gemeinsame Dateien\Skype
2013-09-03 22:12 - 2012-04-08 17:07 - 00001872 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
2013-09-03 22:09 - 2011-08-01 14:24 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\WinRAR
2013-09-03 22:06 - 2013-09-03 22:05 - 00000000 ____D C:\Programme\Windows Live
2013-09-03 22:05 - 2013-09-03 22:05 - 00000000 ____D C:\Programme\Windows Live SkyDrive
2013-09-03 22:05 - 2011-08-01 14:06 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users\Dokumente
2013-09-03 22:05 - 2011-08-01 14:06 - 00000000 ____D C:\Programme\Gemeinsame Dateien\Microsoft Shared
2013-09-03 22:02 - 2013-09-03 22:02 - 00000000 ____D C:\Programme\Gemeinsame Dateien\Windows Live
2013-09-03 21:55 - 2012-08-06 19:43 - 00000654 _____ C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
2013-09-03 21:55 - 2012-08-06 19:43 - 00000000 ____D C:\Programme\CCleaner
2013-09-03 21:48 - 2012-04-14 18:12 - 00692104 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2013-09-03 21:48 - 2011-08-01 14:29 - 00071048 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2013-09-03 21:44 - 2011-08-01 14:59 - 00000000 ____D C:\WINDOWS\Help
2013-09-03 21:35 - 2013-09-03 21:35 - 00000000 __SHD C:\Dokumente und Einstellungen\Admin\IECompatCache
2013-09-03 21:28 - 2013-09-03 21:27 - 00005430 _____ C:\DelFix.txt
2013-09-03 21:27 - 2013-09-03 21:27 - 00000000 ____D C:\WINDOWS\ERUNT
2013-09-03 18:05 - 2011-08-01 14:59 - 00000000 ____D C:\WINDOWS\java
2013-09-03 17:23 - 2013-09-03 17:23 - 00000756 _____ C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
2013-09-03 17:23 - 2013-09-03 17:23 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2013-09-03 17:23 - 2013-09-03 17:22 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-09-03 17:04 - 2013-09-03 17:04 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Easeware
2013-09-03 16:40 - 2013-09-03 14:41 - 00000000 ____D C:\AdwCleaner
2013-09-03 15:44 - 2011-08-01 13:36 - 00000000 __SHD C:\Dokumente und Einstellungen\Admin\UserData
2013-09-03 06:26 - 2011-08-01 13:23 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-09-02 21:43 - 2013-09-02 21:43 - 00000000 ____D C:\Programme\ESET
2013-09-02 17:17 - 2011-11-17 22:34 - 00000000 ____D C:\WINDOWS\system32\NtmsData
2013-09-02 17:16 - 2011-08-01 13:13 - 00000000 ____D C:\WINDOWS\Registration
2013-09-01 23:16 - 2011-08-01 14:44 - 00065536 _____ C:\WINDOWS\system32\config\ODiag.evt
2013-09-01 15:27 - 2013-09-01 15:27 - 00000000 ____D C:\Programme\Tor
2013-08-30 09:48 - 2013-09-03 23:37 - 00770344 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSnx.sys
2013-08-30 09:48 - 2013-09-03 23:37 - 00369584 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSP.sys
2013-08-30 09:48 - 2013-09-03 23:37 - 00177864 _____ C:\WINDOWS\system32\Drivers\aswVmm.sys
2013-08-30 09:48 - 2013-09-03 23:37 - 00066336 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswMonFlt.sys
2013-08-30 09:48 - 2013-09-03 23:37 - 00056080 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswTdi.sys
2013-08-30 09:48 - 2013-09-03 23:37 - 00049760 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswRdr.sys
2013-08-30 09:48 - 2013-09-03 23:37 - 00049376 _____ C:\WINDOWS\system32\Drivers\aswRvrt.sys
2013-08-30 09:48 - 2013-09-03 23:37 - 00029816 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswFsBlk.sys
2013-08-30 09:47 - 2013-09-03 23:37 - 00229648 _____ (AVAST Software) C:\WINDOWS\system32\aswBoot.exe
2013-08-30 09:47 - 2013-09-03 23:35 - 00041664 _____ (AVAST Software) C:\WINDOWS\avastSS.scr
2013-08-26 00:25 - 2008-04-14 14:00 - 00013646 _____ C:\WINDOWS\system32\wpa.dbl
2013-08-20 00:28 - 2011-08-01 15:04 - 00000211 ___SH C:\boot.ini
2013-08-20 00:28 - 2008-04-14 14:00 - 00000719 _____ C:\WINDOWS\win.ini
2013-08-20 00:28 - 2008-04-14 14:00 - 00000227 _____ C:\WINDOWS\system.ini
2013-08-19 17:19 - 2013-08-19 17:19 - 00000000 ____D C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\CallingID
2013-08-19 13:37 - 2013-08-19 13:37 - 00000000 ___RD C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Verwaltung
2013-08-19 13:37 - 2011-08-01 13:24 - 00000000 ___RD C:\Dokumente und Einstellungen\Admin\Startmenü\Programme
2013-08-19 12:38 - 2013-08-19 12:37 - 00000000 ____D C:\WINDOWS\pss
Files to move or delete:
====================
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Quarantine.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\setup.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{C597C3FC-2110-451E-832E-9352964E56F9}\PRQStarter-1.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{C597C3FC-2110-451E-832E-9352964E56F9}\vcredist_x86.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{BF80A1C0-C3FF-4B1C-ABEF-22CD4F97A0AB}\NeroBar.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{BF80A1C0-C3FF-4B1C-ABEF-22CD4F97A0AB}\PRQStarter-1.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{BF80A1C0-C3FF-4B1C-ABEF-22CD4F97A0AB}\Toolbar.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{8D7309F4-C4B6-4408-8DA9-D3B0E7987822}\PRQStarter-1.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{88CDD09D-1B57-4BB4-A192-33BA0CBCB566}\NeroOSValidator.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{700CE99A-BF60-457F-9AFB-3CAA65A73D29}\InstallSilverlight.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{6BD3444F-03E6-4E21-BAD0-50E6A5820433}\PRQStarter-1.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{5CCCB5E2-D83C-42AD-B8BA-6C073D804247}\PRQStarter-1.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{22AA129A-8E5D-45AE-A3E4-D110703EF141}\PRQStarter-1.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\NeroInstallFiles\NERO20101126103344769\ISSetupPrerequisites\{22AA129A-8E5D-45AE-A3E4-D110703EF141}\WindowsXP-KB942288-v3-x86.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\MSS\3.0.318.3\mcbrwsr2.dll
C:\DOKUME~1\Admin\LOKALE~1\Temp\MSS\3.0.318.3\McInstallerRes.dll
C:\DOKUME~1\Admin\LOKALE~1\Temp\MSS\3.0.318.3\McInstallerRes_LD.dll
C:\DOKUME~1\Admin\LOKALE~1\Temp\MSS\3.0.318.3\McInstallerStartup.dll
C:\DOKUME~1\Admin\LOKALE~1\Temp\MSS\3.0.318.3\McUICnt.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\MSS\3.0.318.3\SecurityScanner.dll
C:\DOKUME~1\Admin\LOKALE~1\Temp\is357113909\OpenItSetup.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\is357113909\wajam_validate.exe
==================== Bamital & volsnap Check =================
C:\Windows\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e
C:\Windows\System32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a
C:\Windows\System32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366
C:\Windows\System32\services.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0109056 ____A (Microsoft Corporation) 4bb6a83640f1d1792ad21ce767b621c6
C:\Windows\System32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd
C:\Windows\System32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106
C:\Windows\System32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d
==================== End Of Log ============================
Log von GMER Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-09-04 22:05:16
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-c WDC_WD600AB-00CZA0 rev.02.05B02 55,90GB
Running: gmer_2.1.19163.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\agdcrpog.sys
---- System - GMER 2.1 ----
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwAddBootEntry [0xB3F64610]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwAllocateVirtualMemory [0xB40405FA]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwAssignProcessToJobObject [0xB3F650E6]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwClose [0xB3FA8B36]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateEvent [0xB3F70F18]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateEventPair [0xB3F70F64]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateIoCompletion [0xB3F710FE]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateKey [0xB3FA84EA]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateMutant [0xB3F70E86]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateSection [0xB3F70FA8]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateSemaphore [0xB3F70ECE]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateThread [0xB3F655E4]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwCreateTimer [0xB3F710B8]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwDebugActiveProcess [0xB3F65E9C]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwDeleteBootEntry [0xB3F64676]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwDeleteKey [0xB3FA91FC]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwDeleteValueKey [0xB3FA94B2]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwDuplicateObject [0xB3F69596]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwEnumerateKey [0xB3FA9067]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwEnumerateValueKey [0xB3FA8ED2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwFreeVirtualMemory [0xB40406C2]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwLoadDriver [0xB3F6425E]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwModifyBootEntry [0xB3F646DC]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwNotifyChangeKey [0xB3F6998C]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwNotifyChangeMultipleKeys [0xB3F6692C]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenEvent [0xB3F70F42]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenEventPair [0xB3F70F86]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenIoCompletion [0xB3F71122]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenKey [0xB3FA8846]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenMutant [0xB3F70EAC]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenProcess [0xB3F68E78]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenSection [0xB3F71036]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenSemaphore [0xB3F70EF6]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenThread [0xB3F6926E]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwOpenTimer [0xB3F710DC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwProtectVirtualMemory [0xB4040822]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwQueryKey [0xB3FA8D4D]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwQueryObject [0xB3F667F8]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwQueryValueKey [0xB3FA8B9F]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwQueueApcThread [0xB3F6634E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRenameKey [0xB404D744]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwRestoreKey [0xB3FA7B30]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetBootEntryOrder [0xB3F64742]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetBootOptions [0xB3F647A8]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetContextThread [0xB3F65D16]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetSystemInformation [0xB3F642F8]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetSystemPowerState [0xB3F644CE]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSetValueKey [0xB3FA9303]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwShutdownSystem [0xB3F6445C]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSuspendProcess [0xB3F66066]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSuspendThread [0xB3F661C8]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwSystemDebugControl [0xB3F64556]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwTerminateProcess [0xB3F65B54]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwTerminateThread [0xB3F65CF6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwUnloadDriver [0xB403EC42]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwVdmControl [0xB3F6480E]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwWriteVirtualMemory [0xB3F65142]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xB4059E00]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 2.1 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2408 80501C30 4 Bytes JMP 8AB3FA84
.text ntkrnlpa.exe!ZwCallbackReturn + 26B0 80501ED8 12 Bytes [42, 47, F6, B3, A8, 47, F6, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 2758 80501F80 12 Bytes [66, 60, F6, B3, C8, 61, F6, ...]
PAGE ntkrnlpa.exe!ZwReplyWaitReceivePortEx + 5EC 8059B7C0 4 Bytes CALL B3F66FD9 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B4056C9A \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B40587B4 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B4059E04 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB6FE53A0, 0x88C345, 0xE8000020]
.text win32k.sys!EngFreeUserMem + 674 BF809FDF 5 Bytes JMP B3F6B284 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngFreeUserMem + 3625 BF80CF90 5 Bytes JMP B3F6B162 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngDeleteSurface + 45 BF8138FE 5 Bytes JMP B3F6B116 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!BRUSHOBJ_pvAllocRbrush + 320C BF81E743 5 Bytes JMP B3F69BF4 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngMulDiv + 199A BF820E6C 5 Bytes JMP B3F6A6EC \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngSetLastError + 7657 BF82868B 5 Bytes JMP B3F69D54 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngCreateBitmap + 698 BF838560 5 Bytes JMP B3F6B3FA \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngCreateBitmap + BB6 BF838A7E 5 Bytes JMP B3F6B00A \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngCreateBitmap + 3605 BF83B4CD 5 Bytes JMP B3F6B614 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngCreateBitmap + D9AB BF845873 5 Bytes JMP B3F69DF4 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngCreateBitmap + 113C6 BF84928E 5 Bytes JMP B3F6A6CE \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngMultiByteToWideChar + 2E60 BF852720 5 Bytes JMP B3F6A7C4 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngMultiByteToWideChar + 2F20 BF8527E0 5 Bytes JMP B3F69AD8 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngMultiByteToWideChar + 84B4 BF857D74 5 Bytes JMP B3F6B56C \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!XLATEOBJ_iXlate + 23AD BF873983 5 Bytes JMP B3F6B33C \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngStretchBlt + 37BB BF87882D 5 Bytes JMP B3F6B1B2 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngGetCurrentCodePage + 3617 BF88FFB6 5 Bytes JMP B3F6A2F2 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngGetCurrentCodePage + 413A BF890AD9 5 Bytes JMP B3F6A4C2 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngGetLastError + 1606 BF8ADD61 5 Bytes JMP B3F6A7E2 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngGradientFill + 4B52 BF8B3770 5 Bytes JMP B3F6A22C \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngGradientFill + 4BDD BF8B37FB 5 Bytes JMP B3F6A508 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngAlphaBlend + 9286 BF8C31E7 5 Bytes JMP B3F69F24 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!PATHOBJ_bCloseFigure + 19CE BF8ED991 5 Bytes JMP B3F699C2 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!PATHOBJ_bCloseFigure + 9006 BF8F4FC9 5 Bytes JMP B3F6A70A \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!PATHOBJ_bCloseFigure + D4C6 BF8F9489 5 Bytes JMP B3F6A008 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!PATHOBJ_bCloseFigure + D746 BF8F9709 5 Bytes JMP B3F6A150 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngCreateClip + 1994 BF912612 5 Bytes JMP B3F69CDC \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngCreateClip + 1C40 BF9128BE 5 Bytes JMP B3F6A88C \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngCreateClip + 2568 BF9131E6 5 Bytes JMP B3F69EBC \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngCreateClip + 4F29 BF915BA7 5 Bytes JMP B3F6A628 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text win32k.sys!EngPlgBlt + 1931 BF9438F8 5 Bytes JMP B3F6B4BE \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
---- User code sections - GMER 2.1 ----
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ntdll.dll!LdrLoadDll 7C9263A3 5 Bytes JMP 003901F8
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ntdll.dll!LdrUnloadDll 7C92736B 5 Bytes JMP 003903FC
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] KERNEL32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ADVAPI32.dll!SetServiceObjectSecurity 77E06D59 5 Bytes JMP 003A1014
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ADVAPI32.dll!ChangeServiceConfigA 77E06E41 5 Bytes JMP 003A0804
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ADVAPI32.dll!ChangeServiceConfigW 77E06FD9 5 Bytes JMP 003A0A08
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ADVAPI32.dll!ChangeServiceConfig2A 77E070D9 5 Bytes JMP 003A0C0C
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ADVAPI32.dll!ChangeServiceConfig2W 77E07161 5 Bytes JMP 003A0E10
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ADVAPI32.dll!CreateServiceA 77E071E9 5 Bytes JMP 003A01F8
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ADVAPI32.dll!CreateServiceW 77E07381 5 Bytes JMP 003A03FC
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] ADVAPI32.dll!DeleteService 77E07489 5 Bytes JMP 003A0600
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 003B0804
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 003B0A08
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] USER32.dll!SetWindowsHookExA 7E381211 5 Bytes JMP 003B0600
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] USER32.dll!SetWinEventHook 7E3817F7 5 Bytes JMP 003B01F8
.text C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\gmer_2.1.19163.exe[252] USER32.dll!UnhookWinEvent 7E3818AC 5 Bytes JMP 003B03FC
.text C:\WINDOWS\system32\svchost.exe[448] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\svchost.exe[448] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\RUNDLL32.EXE[508] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\RUNDLL32.EXE[508] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\RTHDCPL.EXE[528] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\RTHDCPL.EXE[528] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\System32\smss.exe[624] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\LxrSII1s.exe[656] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\LxrSII1s.exe[656] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe[684] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe[684] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe[692] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe[692] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[700] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[700] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\csrss.exe[716] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\csrss.exe[716] KERNEL32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\winlogon.exe[740] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\winlogon.exe[740] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text D:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe[760] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text D:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe[760] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\services.exe[784] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\services.exe[784] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\lsass.exe[796] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\lsass.exe[796] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\rundll32.exe[864] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\rundll32.exe[864] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\svchost.exe[988] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\svchost.exe[988] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Tor\tor.exe[1036] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Tor\tor.exe[1036] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\svchost.exe[1052] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\svchost.exe[1052] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\CyberLink\PowerDVD\PDVDServ.exe[1116] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\CyberLink\PowerDVD\PDVDServ.exe[1116] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\AVAST Software\Avast\avastUI.exe[1136] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\AVAST Software\Avast\avastUI.exe[1136] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\System32\svchost.exe[1168] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\System32\svchost.exe[1168] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\ctfmon.exe[1196] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\ctfmon.exe[1196] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Lexar Media\LxrAutorun.exe[1236] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Lexar Media\LxrAutorun.exe[1236] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[1244] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[1244] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\svchost.exe[1248] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\svchost.exe[1248] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\svchost.exe[1360] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\svchost.exe[1360] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\AVAST Software\Avast\AvastSvc.exe[1428] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\AVAST Software\Avast\AvastSvc.exe[1428] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe[1452] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe[1452] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Secure Banking\sbservice.exe[1512] ntdll.dll!LdrLoadDll 7C9263A3 5 Bytes JMP 003801F8
.text C:\Programme\Secure Banking\sbservice.exe[1512] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Secure Banking\sbservice.exe[1512] ntdll.dll!LdrUnloadDll 7C92736B 5 Bytes JMP 003803FC
.text C:\Programme\Secure Banking\sbservice.exe[1512] KERNEL32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Secure Banking\sbservice.exe[1512] advapi32.dll!SetServiceObjectSecurity 77E06D59 5 Bytes JMP 00391014
.text C:\Programme\Secure Banking\sbservice.exe[1512] advapi32.dll!ChangeServiceConfigA 77E06E41 5 Bytes JMP 00390804
.text C:\Programme\Secure Banking\sbservice.exe[1512] advapi32.dll!ChangeServiceConfigW 77E06FD9 5 Bytes JMP 00390A08
.text C:\Programme\Secure Banking\sbservice.exe[1512] advapi32.dll!ChangeServiceConfig2A 77E070D9 5 Bytes JMP 00390C0C
.text C:\Programme\Secure Banking\sbservice.exe[1512] advapi32.dll!ChangeServiceConfig2W 77E07161 5 Bytes JMP 00390E10
.text C:\Programme\Secure Banking\sbservice.exe[1512] advapi32.dll!CreateServiceA 77E071E9 5 Bytes JMP 003901F8
.text C:\Programme\Secure Banking\sbservice.exe[1512] advapi32.dll!CreateServiceW 77E07381 5 Bytes JMP 003903FC
.text C:\Programme\Secure Banking\sbservice.exe[1512] advapi32.dll!DeleteService 77E07489 5 Bytes JMP 00390600
.text C:\Programme\Secure Banking\sbservice.exe[1512] user32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 003A0804
.text C:\Programme\Secure Banking\sbservice.exe[1512] user32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 003A0A08
.text C:\Programme\Secure Banking\sbservice.exe[1512] user32.dll!SetWindowsHookExA 7E381211 5 Bytes JMP 003A0600
.text C:\Programme\Secure Banking\sbservice.exe[1512] user32.dll!SetWinEventHook 7E3817F7 5 Bytes JMP 003A01F8
.text C:\Programme\Secure Banking\sbservice.exe[1512] user32.dll!UnhookWinEvent 7E3818AC 5 Bytes JMP 003A03FC
.text C:\WINDOWS\Temp\Password.exe[1532] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\Temp\Password.exe[1532] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE[1548] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE[1548] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe[1568] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe[1568] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\nvsvc32.exe[1636] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\nvsvc32.exe[1636] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\system32\spoolsv.exe[1656] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\system32\spoolsv.exe[1656] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\Explorer.EXE[1664] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\Explorer.EXE[1664] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\WINDOWS\System32\alg.exe[1992] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\WINDOWS\System32\alg.exe[1992] kernel32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ntdll.dll!LdrLoadDll 7C9263A3 5 Bytes JMP 003801F8
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ntdll.dll!RtlDosSearchPath_U + 1D1 7C9271AA 1 Byte [62]
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ntdll.dll!LdrUnloadDll 7C92736B 5 Bytes JMP 003803FC
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] KERNEL32.dll!GetBinaryTypeW + 80 7C868C2C 1 Byte [62]
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00390804
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 00390A08
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] USER32.dll!SetWindowsHookExA 7E381211 5 Bytes JMP 00390600
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] USER32.dll!SetWinEventHook 7E3817F7 5 Bytes JMP 003901F8
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] USER32.dll!UnhookWinEvent 7E3818AC 3 Bytes JMP 003903FC
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] USER32.dll!UnhookWinEvent + 4 7E3818B0 1 Byte [82]
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ADVAPI32.dll!SetServiceObjectSecurity 77E06D59 5 Bytes JMP 003A1014
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ADVAPI32.dll!ChangeServiceConfigA 77E06E41 5 Bytes JMP 003A0804
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ADVAPI32.dll!ChangeServiceConfigW 77E06FD9 5 Bytes JMP 003A0A08
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ADVAPI32.dll!ChangeServiceConfig2A 77E070D9 5 Bytes JMP 003A0C0C
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ADVAPI32.dll!ChangeServiceConfig2W 77E07161 5 Bytes JMP 003A0E10
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ADVAPI32.dll!CreateServiceA 77E071E9 5 Bytes JMP 003A01F8
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ADVAPI32.dll!CreateServiceW 77E07381 5 Bytes JMP 003A03FC
.text C:\Programme\Secure Banking\SecureBanking.exe[2944] ADVAPI32.dll!DeleteService 77E07489 5 Bytes JMP 003A0600
---- Devices - GMER 2.1 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272b123a5
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000272b123a5 (not active ControlSet)
---- EOF - GMER 2.1 ----
__________________ Mit freundlichen Gruße Edith |
| Themen zu Windows XP, Agent-ARRQ, Rootkid-Gen, Generic-IF |
| anime, antivir, antivirus, avira, browser, canon, defender, desktop, einstellungen, farbar, farbar recovery scan tool, fehler, homepage, mozilla, newtab, ntdll.dll, programm, realtek, registry, security, software, svchost.exe, system, vcredist, wajam, win32/agent.lxiyxeq, win32/hacktool.gendel.a, win32/hoax.archsms.abz, win32k.sys, windows, windows xp |
Baum-Darstellung