| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
13.10.2008, 22:39
| #1 |
| |  infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung hallo erstmal zusammen, bin ganz neu on board und muß mal eure hilfe beanspruchen, hatte am we ein heftigen befall von einigen schädlingen, konnte das system auch nicht mehr zurückstellen bzw auch nicht mehr in den abgesicherten modus bekommen. mein system war nicht abgesichert, ja ich weiß jetzt werden die ersten leute schreien"selber schuld" allerdings bin ich kein laie komme selber aus der it-welt und kenne mich gut mit netzwerken-datenbanken-usw. aus...... allerdings bei der auswertung und genauen beseitigung von gewissen plagekeistern eher unsicher...... um mal kurz das problem und die umstände zu beschreiben, winxpprof. servicepack3 hinter einem router mit firewall....beim installieren und testen einer software war es dann soweit, explorer fenster öffneten sich alleine, komische adaware/maleware warnungen kamen, desktop hintergrund weiß/rot mit trojaner meldung,system sehr langsam geworden, immer wieder auf virus/trojanremover geleitet worden automatisch usw..... dann versucht systemherstellungspunkt zumachen,kein erfolg, dann angefangen trojan remover zu installieren,ausgeführt,etliche meldungen, versucht zu beheben, neustart gleiche problem!!!! dann systemwiederherstellung ausgeschaltet,trojan remover wieder gestartet,alles versucht zubehen, neustart.....ohne erfolg,!!!! die scheiß dinger haben die systemwiederherstellung wieder eingeschaltet. avast installiert durchlaufen lassen,mehrer meldungen, mußte system neustarten und avast scannte im bootmodus......einiges gefunden und in quarantaine gepackt......neustart system zeigte schon besserung, start menue war wieder da,sorry vergass ich eben zu erwähnen war nämlich auch weg, "wie ausführen,programme, usw." als nächstes adaware drüber laufen lassen 30 einträge , bereinigen lassen, wieder ein wenig besserung..... dann trojan remover wieder gestartet und immer noch meldung ""TDSSser.sys -- .dll usw und RESTRICTIVE WINDOWS EXPLORER POLICIES FOUND--- DISABLE SR ALL USERS DISABLE SYTEM RESTORE ON ALL DRIVES"""" und tdssl.dll würde gerne wissen wie ich das auch noch weg bekomme und dann natürlich ob mein system dann wieder wirklich sauber ist, und nicht vielleicht noch was schlummert!!!!!!!! will mein system nicht neu aufsetzen!!!!muß auch so gehen,erstmal zumindestens....... wäre dankbar für jede hilfe thx vorab |
|
14.10.2008, 17:23
| #2 |
| /// AVZ-Toolkit Guru   | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung Hallio hallo.
__________________Du solltest wissen, dass man eine Rootkit Infektion nicht auf die leichte Schulter nehmen sollte. Ich würde den Rechner neuaufsetzten! Wenn du eine Bereinigung versuchen möchtest gehe vor wie folgt. Deinstalliere alle zusätzlich installierten Anti-Programme wie den Trojan Remover und Ad-Aware! Räume mit dem CCleaner auf [Punkte 1&2]
__________________ |
|
14.10.2008, 21:02
| #3 |
| | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung ja ich weiß das man rootkits nicht unterschätzen sollte, bin mir meiner gefahr auch bewusst allerdings kann ich momentan das system nicht neu aufsetzen,erst zu einem späteren zeitpunkt, bin aber momentan auf meinem laptop angewiesen.....werde natürlich keinerlei risiko arbeiten auf dem pc ausführen.....
__________________ok dann werde ich mal zur tat schreiten alles deinstallieren und dann nach dem cleanen die logs hier posten..... habe im moment kaspersky internet security auch laufen.....sollte der auch deinstalliert werden???? thx vorab |
|
14.10.2008, 21:47
| #4 | |
| /// AVZ-Toolkit Guru | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernungZitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
14.10.2008, 22:08
| #5 |
| | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung also CCleaner alles bereinigen lassen.... danach blacklight drüber laufen lassen---keine hidden files dann GMER und hier das aktuelle logfile...mit seuche  wie bekomm ich die scheiße jetzt noch weg.... GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-10-14 22:58:00 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT sptd.sys ZwCreateKey [0xBA6BE0D0] SSDT sptd.sys ZwEnumerateKey [0xBA6C3FB2] SSDT sptd.sys ZwEnumerateValueKey [0xBA6C4340] SSDT sptd.sys ZwOpenKey [0xBA6BE0B0] SSDT sptd.sys ZwQueryKey [0xBA6C4418] SSDT sptd.sys ZwQueryValueKey [0xBA6C4298] SSDT sptd.sys ZwSetValueKey [0xBA6C44AA] Code B10B3E0B pIofCallDriver ---- Kernel code sections - GMER 1.0.14 ---- PAGE ntkrnlpa.exe!ZwFlushWriteBuffer + 59 805ABE33 10 Bytes JMP E260D2F4 ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload B9B398AC 5 Bytes JMP 8A8731C8 ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6BEAD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6BEC1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6BEB9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6BF748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6BF61E] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6D429A] sptd.sys ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 8AB0F1E8 Device \FileSystem\Fastfat \FatCdrom 8A7F81E8 Device \FileSystem\Udfs \UdfsCdRom 895A71E8 Device \FileSystem\Udfs \UdfsDisk 895A71E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{E3F0DBF4-2E27-437B-ADB5-3661D15DED80} 895A81E8 Device \Driver\usbuhci \Device\USBPDO-0 8A8721E8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AAA31E8 Device \Driver\dmio \Device\DmControl\DmConfig 8AAA31E8 Device \Driver\dmio \Device\DmControl\DmPnP 8AAA31E8 Device \Driver\dmio \Device\DmControl\DmInfo 8AAA31E8 Device \Driver\usbuhci \Device\USBPDO-1 8A8721E8 Device \Driver\usbuhci \Device\USBPDO-2 8A8721E8 Device \Driver\usbuhci \Device\USBPDO-3 8A8721E8 Device \Driver\usbehci \Device\USBPDO-4 8A845790 Device \Driver\Ftdisk \Device\HarddiskVolume1 8AB111E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume2 8AB111E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom0 8A80E1E8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8AB111E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom1 8A80E1E8 Device \Driver\Ftdisk \Device\HarddiskVolume4 8AB111E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\NetBT \Device\NetBt_Wins_Export 895A81E8 Device \Driver\NetBT \Device\NetbiosSmb 895A81E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{46E73FD4-9494-47E6-8944-642E4A9416A5} 895A81E8 Device \Driver\usbuhci \Device\USBFDO-0 8A8721E8 Device \Driver\usbuhci \Device\USBFDO-1 8A8721E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8958A790 Device \Driver\usbuhci \Device\USBFDO-2 8A8721E8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 8958A790 Device \Driver\usbuhci \Device\USBFDO-3 8A8721E8 Device \Driver\usbehci \Device\USBFDO-4 8A845790 Device \Driver\Ftdisk \Device\FtControl 8AB111E8 Device \Driver\VClone \Device\Scsi\VClone1 8A78D1E8 Device \Driver\VClone \Device\Scsi\VClone1Port2Path0Target0Lun0 8A78D1E8 Device \FileSystem\Fastfat \Fat 8A7F81E8 Device \FileSystem\Cdfs \Cdfs 8A7091E8 Teil1!!!!!!!!!!!!! war zulang das logfile |
|
14.10.2008, 22:09
| #6 |
| | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung Teil 2 Fortsetzung!!!!!!! ---- Modules - GMER 1.0.14 ---- Module \systemroot\system32\drivers\TDSSserv.sys (*** hidden *** ) B10B2000-B10C3000 (69632 bytes) ---- Threads - GMER 1.0.14 ---- Thread 4:1132 B10B3D68 ---- Processes - GMER 1.0.14 ---- Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [688] 0x00650000 Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [744] 0x00650000 Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1788] 0x00650000 Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1868] 0x00650000 Library C:\WINDOWS\System32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1904] 0x00650000 Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2168] 0x00650000 Library C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [3068] 0x00990000 ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\drivers\TDSSserv.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ... Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ... Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ... Reg HKLM\SYSTEM\ControlSet005\Services\TDSSserv Reg HKLM\SYSTEM\ControlSet005\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet005\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet005\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet006\Control\SafeBoot\Minimal\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet006\Control\SafeBoot\Minimal\TDSSserv.sys@ driver Reg HKLM\SYSTEM\ControlSet006\Control\SafeBoot\Network\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet006\Control\SafeBoot\Network\TDSSserv.sys@ driver Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ... Reg HKLM\SYSTEM\ControlSet006\Services\TDSSserv Reg HKLM\SYSTEM\ControlSet006\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet006\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet006\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys@ driver Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys@ driver Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet008\Control\SafeBoot\Minimal\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet008\Control\SafeBoot\Minimal\TDSSserv.sys@ driver Reg HKLM\SYSTEM\ControlSet008\Control\SafeBoot\Network\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet008\Control\SafeBoot\Network\TDSSserv.sys@ driver Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ... Reg HKLM\SYSTEM\ControlSet008\Services\TDSSserv Reg HKLM\SYSTEM\ControlSet008\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet008\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet008\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OOSAFEERASE03.00.00.01MSWINDOWS 6D9A4B944F99C67204C166FD124F5076D12D9A44519C76BF0B6E08F32E5FE872AD547530C785EFF7324B96683721B9FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E12 7BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A2D97226D213B555A6A0AC4980AC7933A6A0AC4980AC7933F6362E69B1F6EE8AE74FA39E435DE0E2676BDEAE969DBE AA5CE9F3B4BF35C662FA9B39DCBA4BD70903F22E278EA777EDDB47B2C1CDBDB98DF2288FE96647EC80723D51693BF19CF6453CEE170D14DFCEEE6A42F1BE7BFE27AAAB52C35AC55D1BE1AA E75A734CBC7472857BCA4E1E5004429568CDE2891978A1BF7B9F213997D30455437C165C4E6300893E20D1E0115226EFD56327BE244728929FDFB6D2AD1245977BA3CCCA786B18E7F7FB8D 1D7FC126000E4A6F92539B42B7A9690BE4C87EC8AA002634E4F6F61B273945E9390E9F7AB468979025ED42A9A355267E65238862AE925FD9189BB61AAEE968C3BC407A14E0906BD4B64D4F C9313203EA6E0C629CA5C82DC3F9C91C5BCA4454EC553028963706E47AAE6014C220267219C1E68134790BF2E942795FD92C587DA9D38ABE58531EA7331628AC6B90E9EA4A402A201C741A 16B6CBB7FBC4E6075AB2AC921C66B0FEDD251ABBF3C98B0A643071E23CF8C684820C972430FD7309E7B5F89B6000B2A534E98EC58D1B7AE6DD71002F98A Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@affid 42 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@subid v2test7 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@control 0x09 0x19 0x1F 0x16 ... Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@prov 10010 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@googleadserver pagead2.googlesyndication.com Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@flagged 1 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88034F29-06DA-BEDA-8CE4-771DFA89AB39} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88034F29-06DA-BEDA-8CE4-771DFA89AB39}@ianpgjbeocgjkeecdb 0x6A 0x61 0x62 0x65 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88034F29-06DA-BEDA-8CE4-771DFA89AB39}@hahpinpiikhnnebk 0x6A 0x61 0x62 0x65 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88034F29-06DA-BEDA-8CE4-771DFA89AB39}@gamaiibajamalj 0x6B 0x61 0x62 0x65 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88DA6DFE-6722-C360-026E-A9F095B78123} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88DA6DFE-6722-C360-026E-A9F095B78123}@iappejkikeflihnkio 0x6B 0x61 0x64 0x65 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88DA6DFE-6722-C360-026E-A9F095B78123}@hajeopogbhhnkcdi 0x6B 0x61 0x64 0x65 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88DA6DFE-6722-C360-026E-A9F095B78123}@gaoaoakcoolphp 0x6B 0x61 0x64 0x65 ... ---- EOF - GMER 1.0.14 ---- |
|
15.10.2008, 05:47
| #7 |
| /// AVZ-Toolkit Guru | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete:
C:\WINDOWS\system32\TDSSl.dll
C:\WINDOWS\system32\drivers\TDSSserv.sys
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Überprüfe deinen Rechner danach mit Anti-Malware und SUPERAntiSpyware und poste die logs. Poste danach ein frisches HJT log.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
16.10.2008, 00:25
| #8 |
| | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung ....so da der erste versuch ja nicht 100% geklappt hat hatte ich gestern nochmal das programm Malwarebytes-Anti-Malware getestet und hatte auch sofortige meldungen bezüglich der besagten rootkits tdssserv siehe logfile... Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1270 Windows 5.1.2600 Service Pack 3 15.10.2008 00:06:13 mbam-log-2008-10-15 (00-06-13).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 55039 Laufzeit: 1 minute(s), 51 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 34 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 3 Infizierte Dateien: 61 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2aabd0c3-1b64-4de0-ae17-bbbe806197f2} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{e618364c-d16e-4a8b-9536-e3dd898a2bbd} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{c93ea47f-cae8-4e69-8418-2c30fc014070} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0866cb33-1c08-48eb-b3c2-f39f32201917} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.FakeAlert) -> Data: c:\windows\system32\karna.dat -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.FakeAlert) -> Data: system32\karna.dat -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully. C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\eagd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xxywVnki.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xxywXOge.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\khfFYQjk.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\efcBqqqN.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\geBtUopO.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jkkHArOG.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jkkICstT.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jkkJbyaX.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jlrrip.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mlJApMeb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\usuvdgok.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vbcsis.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\akbovjlp.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ubykhe.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\byXNdaaA.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\byXPIccb.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\byXQIBqo.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\byXRigDS.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vcqrnqau.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nnnmlKEv.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nnnnMCUl.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\opnonkHA.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pmnkHASK.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pmnlkJyY.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pmnmlkIc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\rqRIcayw.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tuvUMdAP.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tygbkolr.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fcccabCV.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\awtqnkiI.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\awtsPHyx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\cbXPhfEu.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\cbXPiGwt.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\urqRIxur.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wvUlighg.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wvUmnNFV.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ljJCspmM.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ljJCsqPh.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qmerriyf.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qoMeFvSi.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qtwnxw.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\eindringling\Lokale Einstellungen\Temp\TDSS29e0.tmp (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\eindringling\Lokale Einstellungen\Temp\TDSSe0d5.tmp (Trojan.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Delete on reboot. C:\services.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\BM1f7790d2.xml (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BM1f7790d2.txt (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\olnmraew.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\lfstbwvd.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\qkeftmxn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\system32\wini104552664.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\eindringling\delself.bat (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSerrors.log (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\TDSSl.dll (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\TDSSserv.sys (Rootkit.Agent) -> Delete on reboot. Danach bereinigen lassen 2 Logfile Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1270 Windows 5.1.2600 Service Pack 3 15.10.2008 00:23:06 mbam-log-2008-10-15 (00-23-06).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 54896 Laufzeit: 3 minute(s), 46 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\eindringling\Lokale Einstellungen\Temp\TDSS3f2f.tmp (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\eindringling\Lokale Einstellungen\Temp\TDSSa9f6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. ERNEUTE BEREINIGUNG 3 Logfile Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1270 Windows 5.1.2600 Service Pack 3 15.10.2008 01:06:01 mbam-log-2008-10-15 (01-06-01).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 54881 Laufzeit: 3 minute(s), 45 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Das sah für mich ja schonmal sehr positiv aus, pc verhielt sich auch ab sofort wieder relativ normal, leistungszuwachs,keine popup´s, keine desktop warnungen usw. allerdings wie gesagt immer noch sehr vorsichtig.... Jetzt habe ich heute deine anleitung gesehen wie ich vorgehen soll, frage nun auch nach dem stand der dinge jetzt ( logfile) immer noch genauso vorgehen???????? weil das proggi combofix ja wie ich gelesen habe auch mit vorsicht zu genießen ist..... danke schonmal vorab für euren klasse support...  |
|
16.10.2008, 07:18
| #9 | |
| /// AVZ-Toolkit Guru | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung Warum bist du denn nicht so vorgegangen wie ich es dir gepostet habe???  Wo ist das Avenger, CF und SUPERAntiSpyware log?? Wenn du nicht das tust was dir geraten wird kann dir hier keiner vernünftig helfen.. Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
19.10.2008, 19:08
| #10 | |
| | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernungZitat:
so und nun hier das log des avenger.... Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\TDSSl.dll" not found! Deletion of file "C:\WINDOWS\system32\TDSSl.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found! Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
|
19.10.2008, 19:35
| #11 |
| | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung so in hier das log vom combo fix: ComboFix 08-10-18.03 - eindringling 2008-10-19 20:24:39.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.944 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\eindringling\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Adobe\Player.exe.bak . ((((((((((((((((((((((( Dateien erstellt von 2008-09-19 bis 2008-10-19 )))))))))))))))))))))))))))))) . 2008-10-16 02:33 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-10-16 02:32 . 2008-10-16 02:33 <DIR> d-------- C:\Programme\Java 2008-10-16 02:31 . 2008-08-14 15:19 2,191,488 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-10-16 02:31 . 2008-08-14 15:19 2,147,840 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2008-10-16 02:31 . 2008-08-14 15:19 2,068,352 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2008-10-16 02:31 . 2008-08-14 15:19 2,026,496 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe 2008-10-16 02:31 . 2008-09-08 12:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-16 02:30 . 2008-09-15 17:24 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys 2008-10-16 02:29 . 2008-10-16 02:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-10-16 01:46 . 2008-07-31 10:40 509,448 --a------ C:\WINDOWS\system32\XAudio2_2.dll 2008-10-16 01:46 . 2008-07-31 10:41 238,088 --a------ C:\WINDOWS\system32\xactengine3_2.dll 2008-10-16 01:46 . 2008-07-31 10:41 68,616 --a------ C:\WINDOWS\system32\XAPOFX1_1.dll 2008-10-16 01:44 . 2008-10-16 01:45 <DIR> d--h----- C:\WINDOWS\msdownld.tmp 2008-10-16 01:43 . 2008-10-16 01:43 <DIR> d-------- C:\WINDOWS\Logs 2008-10-14 23:55 . 2008-10-14 23:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-14 23:55 . 2008-10-14 23:55 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Malwarebytes 2008-10-14 23:55 . 2008-10-14 23:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-14 23:55 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-14 23:55 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-14 22:07 . 2008-10-15 00:27 250 --a------ C:\WINDOWS\gmer.ini 2008-10-14 22:05 . 2008-10-14 22:05 <DIR> d-------- C:\Programme\CCleaner 2008-10-14 02:28 . 2008-10-14 02:28 <DIR> d-------- C:\Programme\Trend Micro 2008-10-13 20:44 . 2008-10-13 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-10-12 11:42 . 2008-10-12 11:42 <DIR> d-------- C:\Programme\Alwil Software 2008-10-12 11:09 . 2008-10-14 01:46 476 --a------ C:\WINDOWS\system32\tmp.reg 2008-10-12 11:08 . 2008-10-12 11:15 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\SmitfraudFix 2008-10-12 04:27 . 2008-10-12 04:27 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-10-12 03:06 . 2008-10-12 11:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xgzujshs 2008-10-12 02:55 . 2008-10-12 11:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kbmnufgn 2008-10-11 22:31 . 2008-10-11 22:31 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\ACD Systems 2008-10-11 22:27 . 2008-10-12 00:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ACD Systems 2008-10-11 21:59 . 2008-10-11 21:59 77,824 --a------ C:\WINDOWS\system32\tdssadw.dll.vir 2008-10-11 21:58 . 2008-10-11 21:58 <DIR> d-------- C:\Programme\VSTplugins 2008-10-11 21:58 . 2008-10-11 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Publish Providers 2008-10-11 21:55 . 2008-10-11 21:55 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Sony 2008-10-11 21:53 . 2008-10-11 22:20 <DIR> d-------- C:\Programme\Sony 2008-10-11 21:51 . 2008-10-11 21:51 <DIR> d-------- C:\Programme\Sony Setup 2008-10-11 21:51 . 2008-10-11 21:51 85 --a------ C:\923.bat 2008-10-11 21:26 . 2008-10-11 21:34 <DIR> d-------- C:\Programme\Native Instruments 2008-10-07 22:28 . 2008-10-12 13:22 <DIR> d-------- C:\WINDOWS\3490736 2008-10-07 22:28 . 2008-10-07 22:28 <DIR> d-------- C:\Programme\ProtectDisc Driver Installer 2008-10-05 12:43 . 2008-10-07 22:14 <DIR> d-------- C:\Programme\IKEA HomePlanner 2008-10-05 11:35 . 2007-11-06 16:59 661,568 --a------ C:\WINDOWS\DBREG.dll 2008-10-05 11:35 . 2007-04-19 10:19 174,144 --a------ C:\WINDOWS\DBReg.exe 2008-10-05 11:35 . 2004-03-09 00:00 132,880 --a------ C:\WINDOWS\system32\MSINET.OCX 2008-10-05 11:35 . 2007-06-04 11:29 16,098 --a------ C:\WINDOWS\German2.ini 2008-10-05 11:34 . 2007-09-26 09:38 2,059,328 --a------ C:\WINDOWS\system32\DBInternetControl.ocx 2008-10-04 01:32 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2008-10-04 01:32 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2008-10-04 00:46 . 2006-09-26 07:44 62,464 --a------ C:\WINDOWS\system32\sevLock.dll 2008-10-04 00:24 . 2008-10-12 13:22 <DIR> d-------- C:\WINDOWS\4028654 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-17 01:11 --------- d-----w C:\Programme\Trillian 2008-10-16 19:57 --------- d-----w C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Azureus 2008-10-16 00:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-10-14 20:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-14 20:25 --------- d-----w C:\Programme\XstreamRadio 3.02 2008-10-14 20:23 --------- d-----w C:\Programme\MobiMB Mobile Media Browser 2008-10-14 20:23 --------- d-----w C:\Programme\Gemeinsame Dateien\LogoManager 2008-10-14 20:20 --------- d-----w C:\Programme\Trojan Remover 2008-10-14 01:10 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-10-13 22:27 --------- d-----w C:\Programme\Opera 2008-10-12 02:53 98,304 ----a-w C:\WINDOWS\DUMP89bc.tmp 2008-10-12 01:01 --------- d-----w C:\Programme\ATI 2008-10-11 20:15 --------- d-----w C:\Programme\UltraVNC 2008-10-07 22:26 --------- d-----w C:\Programme\Network Stumbler 2008-10-07 20:27 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-04 01:16 --------- d-----w C:\Programme\eMule 2008-10-03 22:12 --------- d-----w C:\Programme\QTime 2008-10-03 22:10 --------- d-----w C:\Programme\Nokia 2008-10-03 22:05 --------- d-----w C:\Programme\SmartSniff 2008-10-03 21:39 --------- d-----w C:\Programme\FriendFinder 2008-10-03 21:37 --------- d-----w C:\Programme\Asus 2008-09-15 23:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SF 2008-09-15 23:16 --------- d-----w C:\Programme\SF 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-08-28 10:47 --------- d-----w C:\Programme\DeTeWe 2008-02-18 11:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat . ((((((((((((((((((((((((((((( snapshot@2008-10-16_ 2.12.58.61 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-14 13:19:42 2,147,840 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe + 2008-08-14 13:19:48 2,068,352 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe + 2008-08-14 13:19:43 2,026,496 ------w C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe + 2008-08-14 13:19:48 2,191,488 ------w C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe + 2008-06-23 16:14:39 124,928 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\advpack.dll + 2008-06-23 16:14:40 347,136 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\dxtmsft.dll + 2008-06-23 16:14:40 214,528 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\dxtrans.dll + 2008-06-23 16:14:40 133,120 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\extmgr.dll + 2008-06-23 16:14:40 63,488 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\icardie.dll + 2008-06-23 09:20:01 70,656 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ie4uinit.exe + 2008-06-23 16:14:40 153,088 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieakeng.dll + 2008-06-23 16:14:40 230,400 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieaksie.dll + 2008-06-21 05:23:54 161,792 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieakui.dll + 2008-06-23 16:14:40 383,488 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieapfltr.dll + 2008-06-23 16:14:40 384,512 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\iedkcs32.dll + 2008-06-23 16:14:41 6,066,176 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieframe.dll + 2008-06-23 16:14:41 44,544 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\iernonce.dll + 2008-06-23 16:14:42 267,776 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\iertutil.dll + 2008-06-23 09:20:26 13,824 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieudinit.exe + 2008-06-23 09:20:25 625,664 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\iexplore.exe + 2008-06-23 16:14:42 27,648 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\jsproxy.dll + 2008-06-23 16:14:42 459,264 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\msfeeds.dll + 2008-06-23 16:14:42 52,224 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\msfeedsbs.dll + 2008-06-24 08:14:44 3,592,192 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\mshtml.dll + 2008-06-23 16:14:44 477,696 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\mshtmled.dll + 2008-06-23 16:14:44 193,024 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\msrating.dll + 2008-06-23 16:14:44 671,232 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\mstime.dll + 2008-06-23 16:14:44 102,912 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\occache.dll + 2008-06-23 16:14:44 44,544 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\pngfilt.dll + 2007-03-06 01:14:17 217,312 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe + 2007-03-06 01:15:25 377,568 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\updspapi.dll + 2008-06-23 16:14:44 105,984 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\url.dll + 2008-06-23 16:14:44 1,159,680 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\urlmon.dll + 2008-06-23 16:14:44 233,472 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\webcheck.dll + 2008-06-23 16:14:45 826,368 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\wininet.dll - 2008-09-11 06:45:47 1,165,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe + 2008-10-16 00:36:21 1,165,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe - 2008-09-11 06:45:47 20,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe + 2008-10-16 00:36:22 20,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe - 2008-09-11 06:45:47 159,504 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe + 2008-10-16 00:36:22 159,504 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe - 2008-09-11 06:45:47 184,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe + 2008-10-16 00:36:22 184,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe - 2008-09-11 06:45:47 217,864 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe + 2008-10-16 00:36:22 217,864 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe - 2008-09-11 06:45:47 18,704 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe + 2008-10-16 00:36:22 18,704 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe - 2008-09-11 06:45:47 35,088 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe + 2008-10-16 00:36:22 35,088 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe - 2008-09-11 06:45:47 845,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe + 2008-10-16 00:36:22 845,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe - 2008-09-11 06:45:47 922,384 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe + 2008-10-16 00:36:22 922,384 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe - 2008-09-11 06:45:47 272,648 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe + 2008-10-16 00:36:22 272,648 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe - 2008-09-11 06:45:47 888,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe + 2008-10-16 00:36:22 888,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe - 2008-09-11 06:45:47 1,172,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe + 2008-10-16 00:36:22 1,172,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe - 2008-06-23 16:14:39 124,928 ----a-w C:\WINDOWS\system32\advpack.dll + 2008-08-26 07:57:14 124,928 ----a-w C:\WINDOWS\system32\advpack.dll - 2008-06-23 16:14:39 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll + 2008-08-26 07:57:14 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll - 2008-06-20 11:40:08 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys + 2008-08-14 10:04:36 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys - 2008-06-23 16:14:40 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll + 2008-08-26 07:57:15 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll - 2008-06-23 16:14:40 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll + 2008-08-26 07:57:15 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll - 2008-06-23 16:14:40 133,120 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll + 2008-08-26 07:57:15 133,120 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll - 2008-06-23 16:14:40 63,488 ----a-w C:\WINDOWS\system32\dllcache\icardie.dll + 2008-08-26 07:57:15 63,488 ----a-w C:\WINDOWS\system32\dllcache\icardie.dll - 2008-06-23 09:20:01 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe + 2008-08-25 08:37:31 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe - 2008-06-23 16:14:40 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll + 2008-08-26 07:57:15 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll - 2008-06-23 16:14:40 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll + 2008-08-26 07:57:15 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll - 2008-06-21 05:23:54 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll + 2008-08-23 05:54:51 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll - 2008-06-23 16:14:40 383,488 ----a-w C:\WINDOWS\system32\dllcache\ieapfltr.dll + 2008-08-26 07:57:15 383,488 ----a-w C:\WINDOWS\system32\dllcache\ieapfltr.dll - 2008-06-23 16:14:40 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll + 2008-08-26 07:57:15 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll - 2008-06-23 16:14:41 6,066,176 ----a-w C:\WINDOWS\system32\dllcache\ieframe.dll + 2008-10-03 16:58:14 6,066,176 ----a-w C:\WINDOWS\system32\dllcache\ieframe.dll - 2008-06-23 16:14:41 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll + 2008-08-26 07:57:18 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll - 2008-06-23 16:14:42 267,776 ----a-w C:\WINDOWS\system32\dllcache\iertutil.dll + 2008-08-26 07:57:18 267,776 ----a-w C:\WINDOWS\system32\dllcache\iertutil.dll - 2008-06-23 09:20:26 13,824 ----a-w C:\WINDOWS\system32\dllcache\ieudinit.exe + 2008-08-25 08:38:00 13,824 ----a-w C:\WINDOWS\system32\dllcache\ieudinit.exe - 2008-06-23 09:20:25 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe + 2008-08-23 05:56:15 635,848 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe - 2008-06-23 16:14:42 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll + 2008-08-26 07:57:18 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll - 2008-06-23 16:14:42 459,264 ----a-w C:\WINDOWS\system32\dllcache\msfeeds.dll + 2008-08-26 07:57:19 459,264 ----a-w C:\WINDOWS\system32\dllcache\msfeeds.dll - 2008-06-23 16:14:42 52,224 ----a-w C:\WINDOWS\system32\dllcache\msfeedsbs.dll + 2008-08-26 07:57:19 52,224 ----a-w C:\WINDOWS\system32\dllcache\msfeedsbs.dll - 2008-06-24 08:14:44 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll + 2008-08-27 08:57:22 3,593,216 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll - 2008-06-23 16:14:44 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll + 2008-08-26 07:57:21 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll - 2008-06-23 16:14:44 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll + 2008-08-26 07:57:21 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll - 2008-06-23 16:14:44 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll + 2008-08-26 07:57:21 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll - 2008-06-23 16:14:44 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll + 2008-08-26 07:57:21 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll - 2008-06-23 16:14:44 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll + 2008-08-26 07:57:21 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll - 2008-06-23 16:14:44 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll + 2008-08-26 07:57:21 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll - 2008-06-23 16:14:44 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll + 2008-08-26 07:57:22 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll - 2008-06-23 16:14:44 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll + 2008-08-26 07:57:22 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll - 2008-06-23 16:14:45 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll + 2008-08-26 07:57:22 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll - 2008-06-20 11:40:08 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys + 2008-08-14 10:04:36 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys - 2008-06-23 16:14:40 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll + 2008-08-26 07:57:15 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll - 2008-06-23 16:14:40 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll + 2008-08-26 07:57:15 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll - 2008-06-23 16:14:40 133,120 ----a-w C:\WINDOWS\system32\extmgr.dll + 2008-08-26 07:57:15 133,120 ----a-w C:\WINDOWS\system32\extmgr.dll - 2008-09-09 17:56:21 267,008 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2008-10-16 02:45:27 267,008 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT - 2008-06-23 16:14:40 63,488 ----a-w C:\WINDOWS\system32\icardie.dll + 2008-08-26 07:57:15 63,488 ----a-w C:\WINDOWS\system32\icardie.dll - 2008-06-23 09:20:01 70,656 ----a-w C:\WINDOWS\system32\ie4uinit.exe + 2008-08-25 08:37:31 70,656 ----a-w C:\WINDOWS\system32\ie4uinit.exe - 2008-06-23 16:14:40 153,088 ----a-w C:\WINDOWS\system32\ieakeng.dll + 2008-08-26 07:57:15 153,088 ----a-w C:\WINDOWS\system32\ieakeng.dll - 2008-06-23 16:14:40 230,400 ----a-w C:\WINDOWS\system32\ieaksie.dll + 2008-08-26 07:57:15 230,400 ----a-w C:\WINDOWS\system32\ieaksie.dll - 2008-06-21 05:23:54 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll + 2008-08-23 05:54:51 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll - 2008-06-23 16:14:40 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll + 2008-08-26 07:57:15 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll - 2008-06-23 16:14:40 384,512 ----a-w C:\WINDOWS\system32\iedkcs32.dll + 2008-08-26 07:57:15 384,512 ----a-w C:\WINDOWS\system32\iedkcs32.dll - 2008-06-23 16:14:41 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll + 2008-10-03 16:58:14 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll - 2008-06-23 16:14:41 44,544 ----a-w C:\WINDOWS\system32\iernonce.dll + 2008-08-26 07:57:18 44,544 ----a-w C:\WINDOWS\system32\iernonce.dll - 2008-06-23 16:14:42 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll + 2008-08-26 07:57:18 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll - 2008-06-23 09:20:26 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe + 2008-08-25 08:38:00 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe + 2008-06-09 23:21:01 135,168 ----a-w C:\WINDOWS\system32\java.exe + 2008-06-09 23:21:04 135,168 ----a-w C:\WINDOWS\system32\javaw.exe + 2008-06-10 00:32:34 139,264 ----a-w C:\WINDOWS\system32\javaws.exe - 2008-06-23 16:14:42 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll + 2008-08-26 07:57:18 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll - 2008-08-26 20:28:12 16,208,504 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-10-07 19:19:40 16,721,856 ----a-w C:\WINDOWS\system32\MRT.exe - 2008-06-23 16:14:42 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll + 2008-08-26 07:57:19 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll - 2008-06-23 16:14:42 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll + 2008-08-26 07:57:19 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll - 2008-06-24 08:14:44 3,592,192 ----a-w C:\WINDOWS\system32\mshtml.dll + 2008-08-27 08:57:22 3,593,216 ----a-w C:\WINDOWS\system32\mshtml.dll - 2008-06-23 16:14:44 477,696 ----a-w C:\WINDOWS\system32\mshtmled.dll + 2008-08-26 07:57:21 477,696 ----a-w C:\WINDOWS\system32\mshtmled.dll - 2008-06-23 16:14:44 193,024 ----a-w C:\WINDOWS\system32\msrating.dll + 2008-08-26 07:57:21 193,024 ----a-w C:\WINDOWS\system32\msrating.dll - 2008-06-23 16:14:44 671,232 ----a-w C:\WINDOWS\system32\mstime.dll + 2008-08-26 07:57:21 671,232 ----a-w C:\WINDOWS\system32\mstime.dll - 2008-04-14 02:00:00 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe + 2008-08-14 13:19:48 2,068,352 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe - 2008-04-14 02:00:24 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe + 2008-08-14 13:19:48 2,191,488 ----a-w C:\WINDOWS\system32\ntoskrnl.exe - 2008-06-23 16:14:44 102,912 ----a-w C:\WINDOWS\system32\occache.dll + 2008-08-26 07:57:21 102,912 ----a-w C:\WINDOWS\system32\occache.dll - 2008-06-23 16:14:44 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll + 2008-08-26 07:57:21 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll - 2007-11-30 12:39:14 18,808 ------w C:\WINDOWS\system32\spmsg.dll + 2007-11-30 11:18:34 18,808 ------w C:\WINDOWS\system32\spmsg.dll - 2008-06-23 16:14:44 105,984 ----a-w C:\WINDOWS\system32\url.dll + 2008-08-26 07:57:21 105,984 ----a-w C:\WINDOWS\system32\url.dll - 2008-06-23 16:14:44 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll + 2008-08-26 07:57:22 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll - 2008-06-23 16:14:44 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll + 2008-08-26 07:57:22 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll - 2008-04-14 01:53:16 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys + 2008-09-15 15:24:02 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys - 2008-06-23 16:14:45 826,368 ----a-w C:\WINDOWS\system32\wininet.dll + 2008-08-26 07:57:22 826,368 ----a-w C:\WINDOWS\system32\wininet.dll . |
|
19.10.2008, 19:38
| #12 |
| | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung Teil 2 : -- Snapshot auf jetziges Datum zurückgesetzt -- . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-07 68856] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2005-10-17 987136] "VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-12-03 2622104] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 827392] "SAFE2008 HotKeys"="C:\Programme\Steganos Safe 2008\SteganosHotKeyService.exe" [2007-12-21 25088] "SAFE2008 File Redirection Starter"="C:\Programme\Steganos Safe 2008\fredirstarter.exe" [2007-12-19 57344] "RemoteControl"="C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768] "Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-14 90112] "PCMService"="C:\Programme\ASUS\Mobile Theater\PCMService.exe" [2006-01-24 147456] "IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-04-17 110592] "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 59392] "AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-12-03 911184] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-12-03 140568] "ACMON"="C:\Programme\ASUS\Splendid\ACMON.exe" [2006-05-30 811008] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-08-14 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Dokumente und Einstellungen\eindringling\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] C:\Dokumente und Einstellungen\eindringling\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] C:\Dokumente und Einstellungen\eindringling\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696] Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-06-16 49152] RAMASST.lnk - C:\WINDOWS\system32\RAMAsst.exe [2008-05-21 163840] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax "msacm.ac3filter"= ac3filter.acm "VIDC.ACDV"= ACDV.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 "EPSON Stylus DX5000 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3AE.tmp" /EF "HKCU" "\\192.168.0.101\EPSON Stylus DX5000 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOKUME~1\EINDRI~1\LOKALE~1\Temp\E_S1B.tmp" /EF "HKCU" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TVBroadcast"=C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe "SMSERIAL"=C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe "ACU"=C:\Programme\Atheros\ACU.exe -nogui "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Asus\\Mobile Theater\\PowerCinema.exe"= "C:\\Programme\\Asus\\Mobile Theater\\PCMService.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\groove.exe"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Programme\\Azureus\\Azureus.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Opera\\Opera.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Trillian\\trillian.exe"= "C:\\Programme\\UltraVNC\\repeater.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 psecbdr;psecbdr;C:\WINDOWS\system32\Drivers\psecbdr.sys [2006-09-06 17024] R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-03-22 368480] R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];C:\WINDOWS\system32\drivers\Sleen16.sys [2007-10-11 13:24 79104] R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144] R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680] R2 ITECIRService;ITE Remote Control Service;C:\WINDOWS\system32\RemoteControlService.exe [2006-03-31 656384] R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-12-03 527464] R3 AVerM115S;AVerM115S service;C:\WINDOWS\system32\DRIVERS\AVerM115S.sys [2006-05-16 745088] R3 ITECIR;ITE CIR Driver;C:\WINDOWS\system32\DRIVERS\ITECIR.sys [2004-04-22 7366] R3 SynMini;USB2.0 1.3M WebCam;C:\WINDOWS\system32\Drivers\SynMini.sys [2006-08-09 1116544] R3 SynScan;USB2.0 1.3M WebCam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2006-08-09 7808] S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280] S3 PRODIGY;PRODIGY;C:\WINDOWS\system32\Drivers\PRODIGY.SYS [2006-08-29 32377] S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [ ] S4 repeater_service;repeater_service;C:\Programme\UltraVNC\repeater.exe [2006-04-17 176128] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5aea574-e162-11dc-96c7-0018de793c32}] \Shell\Auto\command - MSOCache\doWTP_RESTORE.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe . Inhalt des "geplante Tasks" Ordners 2008-10-19 C:\WINDOWS\Tasks\1-Click Maintenance.job - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Mozilla\Firefox\Profiles\hh9e015d.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.msn.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-19 20:29:37 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\tsd32.dll -> C:\WINDOWS\system32\ac3filter.acm . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Asus\Mobile Theater\Kernel\TV\CLCapSvc.exe C:\Programme\Asus\Mobile Theater\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Asus\Mobile Theater\Kernel\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\ehome\ehRecvr.exe C:\WINDOWS\ehome\ehSched.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Asus\Mobile Theater\Kernel\TV\CLSched.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\WINDOWS\ehome\ehmsas.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\WINDOWS\system32\ACEngSvr.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-19 20:33:33 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-19 18:33:25 ComboFix2.txt 2008-10-16 00:13:42 Vor Suchlauf: 23 Verzeichnis(se), 16.722.518.016 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 16,700,075,520 Bytes frei 451 --- E O F --- 2008-10-19 17:34:39 |
|
20.10.2008, 14:01
| #13 | |
| /// AVZ-Toolkit Guru | infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernungZitat:
 Ok, dann bin ich ja beruhigt.. ^^Dein Rechner sollte es wieder tun. Ich würde noch mit DrWeb scannen. CureIT Dr.Web
Und lass in Zukunft die Finger vom Torrent und Esel NEtzwerk!!! Sonst geht das irgendwann mal ganz gehörig schief..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
| Themen zu infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung |
| .dll, abgesicherten modus, aufsetzen, auswertung, banke, beseitigung, desktop, entfernun, explorer, hintergrund, immer wieder, infiziert, langsam, neu, neu aufsetzen, neustart, neustarten, problem, programme, remover, router, scan, schädlinge, sehr langsam, servicepack3, software, system, systemwiederherstellung, trojaner, trojaner meldung, windows, windows explorer |
Linear-Darstellung
