| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ständige Werbepopups ohne das der Browser offen ist?!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.01.2009, 17:30
| #1 |
 |  Ständige Werbepopups ohne das der Browser offen ist?! Hallo, ich habe seit ein paar Tagen das problem das ich ständige Popup's bekomme. Ich hatte versucht mit Ad-Aware bei zu gehen doch leider bekomme ich von dort nur eine Crash-File ausgespuckt. Welche mir also auch nicht weiter hilft. Jegliche Programme die ich versucht habe, haben nichts gebracht. Spyware Doctor findet ihn auch, löscht ihn angeblich auch aber nach ein paar stunden ist er wieder da. Hier vorweg einmal der HJT-Log. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:23:13, on 15.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\csrss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe D:\Programme\Alwil Software\Avast4\aswUpdSv.exe D:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS.0\system32\spoolsv.exe D:\Programme\Teamspeak2_RC2\TeamSpeak.exe D:\Programme\Spyware Doctor\pctsAuxs.exe D:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS.0\system32\svchost.exe D:\Programme\Alwil Software\Avast4\ashMaiSv.exe D:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\DSL-Manager\DslMgrSvc.exe C:\WINDOWS.0\System32\alg.exe C:\WINDOWS.0\System32\svchost.exe D:\Programme\Spyware Doctor\pctsGui.exe E:\Programme\Lavasoft\Ad-Aware\aawservice.exe D:\Programme\T4E\Player\T4E_Player.exe C:\WINDOWS.0\system32\taskmgr.exe C:\WINDOWS.0\explorer.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.toggo.de/toggo.php?url=index.php R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {bda43be2-0eeb-4990-85fd-9e6704444a5d} - C:\WINDOWS.0\system32\hepozili.dll (file missing) O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS.0\system32\oodtray.exe O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [yumukaboda] Rundll32.exe "C:\WINDOWS.0\system32\pinafadi.dll",s O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [CPMab4f3aec] Rundll32.exe "c:\windows.0\system32\hesudipi.dll",a O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized (User 'Default user') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS.0\system32\furujeze.dll xyhcrd.dll c:\windows.0\system32\hesudipi.dll O20 - Winlogon Notify: cfefaefcbfceca - C:\WINDOWS.0\system32\cfefaefcbfceca.dll (file missing) O20 - Winlogon Notify: gebqnfdv - geBqNfDv.dll (file missing) O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows.0\system32\hesudipi.dll O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS.0\system32\rwhbfb873unjdfdg.dll (file missing) O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows.0\system32\hesudipi.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Programme\Common\Database\bin\fbserver.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Unknown owner - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe Ich hoffe ihr könnt mir nun weiter helfen. Liebe Grüße und schonmal ein danke =) |
|
15.01.2009, 17:44
| #2 |
  |  Ständige Werbepopups ohne das der Browser offen ist?! Hallo Angelwhite und
__________________ Arbeite diese Liste ab: 1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme): Code:
ATTFilter AdAware (Schrott)
Java (veraltet)
Spyware Doctor (Schrott)
Code:
ATTFilter C:\WINDOWS.0\system32\pinafadi.dll
c:\windows.0\system32\hesudipi.dll
C:\WINDOWS.0\system32\furujeze.dll
c:\windows.0\system32\xyhcrd.dll
Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html 6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
|
15.01.2009, 18:16
| #3 |
| | Ständige Werbepopups ohne das der Browser offen ist?!Code:
ATTFilter Datei pinafadi.dll empfangen 2009.01.15 17:54:45 (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.15 -
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.54 2009.01.15 -
Authentium 5.1.0.4 2009.01.15 -
Avast 4.8.1281.0 2009.01.15 -
AVG 8.0.0.229 2009.01.15 -
BitDefender 7.2 2009.01.15 -
CAT-QuickHeal 10.00 2009.01.15 -
ClamAV 0.94.1 2009.01.15 -
Comodo 932 2009.01.15 -
DrWeb 4.44.0.09170 2009.01.15 -
eSafe 7.0.17.0 2009.01.15 Suspicious File
eTrust-Vet 31.6.6309 2009.01.15 -
F-Prot 4.4.4.56 2009.01.15 -
F-Secure 8.0.14470.0 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.15 -
Ikarus T3.1.1.45.0 2009.01.15 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.15 -
McAfee 5495 2009.01.14 -
McAfee+Artemis 5495 2009.01.14 -
Microsoft 1.4205 2009.01.15 -
NOD32 3769 2009.01.15 -
Norman 5.93.01 2009.01.15 W32/Virtumonde.AKDW
nProtect 2009.1.8.0 2009.01.15 -
Panda 9.5.1.2 2009.01.14 -
PCTools 4.4.2.0 2009.01.15 -
Prevx1 V2 2009.01.15 -
Rising 21.12.32.00 2009.01.15 Trojan.Win32.Nodef.uu
SecureWeb-Gateway 6.7.6 2009.01.15 -
Sophos 4.37.0 2009.01.15 -
Sunbelt 3.2.1831.2 2009.01.09 Virtumonde
Symantec 10 2009.01.15 Trojan.Vundo
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.15.1560 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.15 -
weitere Informationen
File size: 63296 bytes
MD5...: 8448fcb1bf3d8e36478cb130d80a2770
SHA1..: ec3a74982373a0a3068cfa880ad716824c0ecc62
SHA256: bd928b55321f576d115b81221062f6ecae259d0034b0bc9bf63237113b3def3a
SHA512: 17af1ec676b70929b3d423adce6855a9e29f79d02b7ab123091e75cfe5fdb053
0baf5379c49dccbe671719a5a19b7fa612d5bf167b967fe12aff8e7e77d681e7
ssdeep: 1536:tgsoTPGVZkdRU4XX3BzRixuuG26Gq2KSczky9jU:t8GVZ8RbXXRNixuuBq2
Kxky9jU
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100012b8
timedatestamp.....: 0x3ef274dc (Fri Jun 20 02:43:40 2003)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4357 0x4400 7.78 073f37949280b37836693c8f3e9e2c86
.data 0x6000 0x569b 0x5800 7.84 ef79d8e5b4ee44f141e49cd644c9cc15
.dataa 0xc000 0x3f2c 0x3c00 7.93 af2109ea38f1c45dd8c4db547b1bddd4
.rsrc 0x10000 0x1400 0x1400 3.70 ae0e37c71a396ab9cb3c5982d1531d5c
.reloc 0x12000 0xb32a 0x600 0.99 42f6aae14f296518cc8e18e1fbcb06af
( 2 imports )
> kernel32.dll: CreateFileA, FileTimeToSystemTime, GlobalDeleteAtom, HeapAlloc, HeapCreate, RaiseException, SetErrorMode, SetEvent, SetLocalTime, UpdateResourceA, VirtualAlloc, VirtualFree, lstrlenA
> user32.dll: AdjustWindowRectEx, CallNextHookEx, EndPaint, GetDesktopWindow, GetNextDlgTabItem, GetSysColor, IsDialogMessageA, IsWindow, ModifyMenuA, ReleaseCapture, ReleaseDC, TabbedTextOutA
Code:
ATTFilter Datei hesudipi.dll empfangen 2009.01.15 18:01:53 (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.15 -
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.54 2009.01.15 -
Authentium 5.1.0.4 2009.01.15 -
Avast 4.8.1281.0 2009.01.15 -
AVG 8.0.0.229 2009.01.15 -
BitDefender 7.2 2009.01.15 -
CAT-QuickHeal 10.00 2009.01.15 -
ClamAV 0.94.1 2009.01.15 -
Comodo 932 2009.01.15 -
DrWeb 4.44.0.09170 2009.01.15 Trojan.Virtumod.1615
eSafe 7.0.17.0 2009.01.15 -
eTrust-Vet 31.6.6309 2009.01.15 -
F-Prot 4.4.4.56 2009.01.15 -
F-Secure 8.0.14470.0 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.15 -
Ikarus T3.1.1.45.0 2009.01.15 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.15 -
McAfee 5495 2009.01.14 -
McAfee+Artemis 5495 2009.01.14 -
Microsoft 1.4205 2009.01.15 Trojan:Win32/Vundo.gen!G
NOD32 3769 2009.01.15 -
Norman 5.93.01 2009.01.15 -
nProtect 2009.1.8.0 2009.01.15 -
Panda 9.5.1.2 2009.01.14 -
PCTools 4.4.2.0 2009.01.15 -
Prevx1 V2 2009.01.15 Malicious Software
Rising 21.12.32.00 2009.01.15 -
SecureWeb-Gateway 6.7.6 2009.01.15 -
Sophos 4.37.0 2009.01.15 -
Sunbelt 3.2.1831.2 2009.01.09 Virtumonde
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.15.1560 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.15 -
weitere Informationen
File size: 127861 bytes
MD5...: f0343085c1527ac9978f0439fcc36a07
SHA1..: cae85805e924c09c5d59b9445243f043fe0dc98a
SHA256: 948db42d142bbbab8d2aa99c95a02f8301d80b2b1a00e142e0d7b240c86fda6a
SHA512: aa991ede77f6d3db5237f56d15c6fbe624bab1868ef97ef8e3ec859927b59076
1ac25e7eebbd1393c2fac0c70961321ae9859c235c16acafb377d67e7b242916
ssdeep: 3072:94BoL2Og3LGSgThLnetSDeTBfoDXViPMQO2J2e:94B6wL9gnFeTBgLka2J2
e
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10010f28
timedatestamp.....: 0x496b42cc (Mon Jan 12 13:17:00 2009)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13518 0x13600 6.58 ceda391468f77a9e4cc5db566990ace1
.rdata 0x15000 0x84f5 0x8600 6.07 ebb245b25eb5c40b68092357bbd838ac
.data 0x1e000 0x19fc 0xa00 5.54 89a80667132452ed72b553a21dba7358
.rsrc 0x20000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.reloc 0x21000 0x259a 0x2600 4.75 b8d2c1f235e69509fb92e12fdab22bea
( 6 imports )
> msvcrt.dll: malloc, iswdigit, wcsncmp, _wcsnicmp, isdigit, strtol, wcstol, memcmp, _time64, atoi, isspace, atol, atof, strtoul, strncmp, _itoa, wcstombs, calloc, rand, srand, _unlock, __dllonexit, _lock, _onexit, __1type_info@@UAE@XZ, realloc, _XcptFilter, _initterm, _amsg_exit, _adjust_fdiv, free, _strnicmp, mbstowcs, strstr, strncpy, _wcsicmp, _purecall, __2@YAPAXI@Z, memcpy, ___U@YAPAXI@Z, memmove, ___V@YAXPAX@Z, strlen, wcslen, memset, __3@YAXPAX@Z, wcschr, _vsnwprintf, _wcslwr, _strlwr, _errno, _CxxThrowException, _except_handler3
> KERNEL32.dll: FreeLibrary, GetCommandLineW, LoadLibraryA, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, InterlockedCompareExchange, InterlockedExchange, RtlUnwind, OutputDebugStringA, OpenFileMappingW, LocalAlloc, GetCurrentThreadId, SetLastError, FlushInstructionCache, CreateFileMappingW, UnmapViewOfFile, MapViewOfFile, TerminateThread, GetShortPathNameW, GetLocaleInfoW, GetUserDefaultLCID, ResetEvent, CreateEventW, LeaveCriticalSection, GetVersionExW, EnterCriticalSection, GetSystemTimeAsFileTime, WideCharToMultiByte, InitializeCriticalSection, DeleteCriticalSection, lstrlenA, WaitForMultipleObjects, lstrcmpiW, LocalFree, lstrcpyW, ReleaseMutex, GetThreadPriority, HeapAlloc, HeapFree, GetProcessHeap, VirtualProtect, VirtualAlloc, GetProcAddress, GetModuleHandleW, GetVolumeInformationW, CreateFileW, CloseHandle, RaiseException, GetWindowsDirectoryW, OpenEventW, MoveFileExW, SetEvent, Sleep, lstrlenW, OpenProcess, VirtualFreeEx, lstrcmpiA, VirtualAllocEx, Process32FirstW, Process32NextW, CreateToolhelp32Snapshot, WriteProcessMemory, GetCurrentProcess, WaitForSingleObject, CreateRemoteThread, LoadLibraryW, DisableThreadLibraryCalls, lstrcpynW, lstrcatW, CreateThread, SetFilePointer, InterlockedIncrement, GetCurrentThread, GetCurrentProcessId, ExitProcess, InterlockedDecrement, CreateProcessW, CreateMutexW, FreeLibraryAndExitThread, GetLastError, ReadFile, SetThreadPriority, GetModuleFileNameW
> USER32.dll: IsWindow, SetWindowTextW, GetDesktopWindow, SetWindowPos, GetWindowRect, SendMessageW, DestroyIcon, GetWindowThreadProcessId, SetWindowsHookExW, CallNextHookEx, UnhookWindowsHookEx, PostMessageW, wsprintfW
> ADVAPI32.dll: ConvertStringSidToSidW, AllocateAndInitializeSid, RegCreateKeyExW, SetTokenInformation, GetLengthSid, GetSidSubAuthority, GetSidSubAuthorityCount, SetThreadToken, GetTokenInformation, SetSecurityInfo, GetSecurityDescriptorSacl, ConvertStringSecurityDescriptorToSecurityDescriptorW, RegSetKeySecurity, SetSecurityDescriptorDacl, SetEntriesInAclW, InitializeSecurityDescriptor, RegCreateKeyW, RegOpenKeyExW, CreateProcessAsUserW, GetUserNameA, DuplicateTokenEx, OpenProcessToken, AdjustTokenPrivileges, LookupPrivilegeValueW, FreeSid, RegSetValueExW, RegCloseKey, RegOpenKeyW, RegEnumKeyExW, CheckTokenMembership, RegFlushKey, RegQueryValueExW, RegDeleteValueW, RegDeleteKeyW
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitialize, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -
( 3 exports )
E0D197A2_D21D_4d5c_AA5C_0CA8E3507931, a, s
Code:
ATTFilter Datei furujeze.dll empfangen 2009.01.15 18:10:30 (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.15 -
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.54 2009.01.15 -
Authentium 5.1.0.4 2009.01.15 -
Avast 4.8.1281.0 2009.01.15 -
AVG 8.0.0.229 2009.01.15 -
BitDefender 7.2 2009.01.15 -
CAT-QuickHeal 10.00 2009.01.15 -
ClamAV 0.94.1 2009.01.15 -
Comodo 932 2009.01.15 -
DrWeb 4.44.0.09170 2009.01.15 -
eSafe 7.0.17.0 2009.01.15 Suspicious File
eTrust-Vet 31.6.6309 2009.01.15 -
F-Prot 4.4.4.56 2009.01.15 -
F-Secure 8.0.14470.0 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.15 -
Ikarus T3.1.1.45.0 2009.01.15 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.15 -
McAfee 5495 2009.01.14 -
McAfee+Artemis 5495 2009.01.14 -
Microsoft 1.4205 2009.01.15 -
NOD32 3769 2009.01.15 -
Norman 5.93.01 2009.01.15 W32/Virtumonde.AKDW
nProtect 2009.1.8.0 2009.01.15 -
Panda 9.5.1.2 2009.01.14 -
PCTools 4.4.2.0 2009.01.15 -
Prevx1 V2 2009.01.15 Malicious Software
Rising 21.12.32.00 2009.01.15 Trojan.Win32.Nodef.uu
SecureWeb-Gateway 6.7.6 2009.01.15 -
Sophos 4.37.0 2009.01.15 -
Sunbelt 3.2.1831.2 2009.01.09 Virtumonde
Symantec 10 2009.01.15 Trojan.Vundo
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.15.1560 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.15 -
weitere Informationen
File size: 63296 bytes
MD5...: 8448fcb1bf3d8e36478cb130d80a2770
SHA1..: ec3a74982373a0a3068cfa880ad716824c0ecc62
SHA256: bd928b55321f576d115b81221062f6ecae259d0034b0bc9bf63237113b3def3a
SHA512: 17af1ec676b70929b3d423adce6855a9e29f79d02b7ab123091e75cfe5fdb053
0baf5379c49dccbe671719a5a19b7fa612d5bf167b967fe12aff8e7e77d681e7
ssdeep: 1536:tgsoTPGVZkdRU4XX3BzRixuuG26Gq2KSczky9jU:t8GVZ8RbXXRNixuuBq2
Kxky9jU
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100012b8
timedatestamp.....: 0x3ef274dc (Fri Jun 20 02:43:40 2003)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4357 0x4400 7.78 073f37949280b37836693c8f3e9e2c86
.data 0x6000 0x569b 0x5800 7.84 ef79d8e5b4ee44f141e49cd644c9cc15
.dataa 0xc000 0x3f2c 0x3c00 7.93 af2109ea38f1c45dd8c4db547b1bddd4
.rsrc 0x10000 0x1400 0x1400 3.70 ae0e37c71a396ab9cb3c5982d1531d5c
.reloc 0x12000 0xb32a 0x600 0.99 42f6aae14f296518cc8e18e1fbcb06af
( 2 imports )
> kernel32.dll: CreateFileA, FileTimeToSystemTime, GlobalDeleteAtom, HeapAlloc, HeapCreate, RaiseException, SetErrorMode, SetEvent, SetLocalTime, UpdateResourceA, VirtualAlloc, VirtualFree, lstrlenA
> user32.dll: AdjustWindowRectEx, CallNextHookEx, EndPaint, GetDesktopWindow, GetNextDlgTabItem, GetSysColor, IsDialogMessageA, IsWindow, ModifyMenuA, ReleaseCapture, ReleaseDC, TabbedTextOutA
( 0 exports )
Code:
ATTFilter 0 bytes size received / Se ha recibido un archivo vacio
Edit: Malwarebite lässt sich nicht installieren Blacklight findet auch nichts Edit2: SuperAntispyware.com gibt beim starten folgenden Fehler raus: Unable to locate SUPERAntiSpyware program files. Da bekommt man ja graue haare bei  Geändert von Angelwhite (15.01.2009 um 18:30 Uhr) Grund: doppelpost vermeiden :) |
|
15.01.2009, 18:31
| #4 | ||
| | Ständige Werbepopups ohne das der Browser offen ist?!Zitat:
Zitat:
GMER - Rootkit Detection
ciao, andreas |
|
15.01.2009, 18:34
| #5 | |
| | Ständige Werbepopups ohne das der Browser offen ist?!Zitat:
|
|
15.01.2009, 18:42
| #7 |
| | Ständige Werbepopups ohne das der Browser offen ist?! Desweiten habe ich die mal 2 screens gemacht also irgendwas will mich hier ärgen   Das 2 ist mal wieder eine dieser Antivirus runterlade aktionen wo ich sowieso immer auf abbrechen klicke  |
|
15.01.2009, 18:45
| #8 |
| | Ständige Werbepopups ohne das der Browser offen ist?! Versuch mal Folgendes: Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber Dort alle Treiber, die mit ADS oder TDS beginnen (vermutlich ist es TDSSserv.sys) deaktivieren => Rechner neustarten ciao, andreas |
|
15.01.2009, 18:51
| #9 |
| | Ständige Werbepopups ohne das der Browser offen ist?! Also entweder ist mein Windows schrott oder ich kann nicht gucken aber keines von beiden vorhanden. Könnte es noch was anderes sein hier mal die Nicht PnP-Treiber.  |
|
15.01.2009, 18:57
| #10 |
| | Ständige Werbepopups ohne das der Browser offen ist?! Start => Einstellungen => Systemsteuerung => Benutzerkonten Die Konten sind unten rechts. Was steht unter deinem Anmeldenamen? ciao, andreas |
|
15.01.2009, 18:58
| #11 |
| | Ständige Werbepopups ohne das der Browser offen ist?! Habe hier administrator Rechte deswegen wundert mich das ganze etwas |
|
15.01.2009, 19:00
| #12 |
| | Ständige Werbepopups ohne das der Browser offen ist?! Benenne gmer.exe um in asdf.com und versuche es noch einmal. ciao, andreas |
|
15.01.2009, 19:13
| #13 |
| | Ständige Werbepopups ohne das der Browser offen ist?! Nach der umbenennung ging es hier der Log-File Also da ich denke das die einträge alle nicht grade gutmütig sind muss ich doch ganz schön schlucken. Wo zum teufel kommt das her...? Code:
ATTFilter GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-15 19:12:43
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
Code 86C886E0 ZwEnumerateKey
Code 86C883C8 ZwFlushInstructionCache
Code F59EF480 pIofCallDriver
---- Kernel code sections - GMER 1.0.14 ----
PAGE ntoskrnl.exe!ZwEnumerateKey 8056F76A 5 Bytes JMP 86C886E4
PAGE ntoskrnl.exe!ZwFlushInstructionCache 805769AB 5 Bytes JMP 86C883CC
? ikfilesec.sys Das System kann die angegebene Datei nicht finden. !
? system32\drivers\iksysflt.sys Das System kann den angegebenen Pfad nicht finden. !
? system32\drivers\KCOM.SYS Das System kann den angegebenen Pfad nicht finden. !
? system32\drivers\iksyssec.sys Das System kann den angegebenen Pfad nicht finden. !
.text tcpip.sys!IPTransmit + 10B7 F5985CFA 6 Bytes CALL F739B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 24D9 F598711C 6 Bytes CALL F739B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 4662 F59892A5 6 Bytes CALL F739B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys F70083FD 7 Bytes CALL F739B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
? C:\WINDOWS.0\System32\drivers\5fdded8.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS.0\system32\Drivers\mchInjDrv.sys Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.14 ----
.text C:\Dokumente und Einstellungen\Cloe\Desktop\asdf.com[168] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ]
.text C:\WINDOWS.0\explorer.exe[336] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ]
.text C:\Programme\MSN Messenger\usnsvc.exe[640] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ]
.text C:\Programme\DSL-Manager\DslMgrSvc.exe[1300] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ]
.text C:\WINDOWS.0\System32\svchost.exe[1372] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ]
.text ...
.text C:\Programme\MSN Messenger\msnmsgr.exe[2020] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 004DE392 C:\Programme\MSN Messenger\msnmsgr.exe (Messenger/Microsoft Corporation)
.text C:\WINDOWS.0\system32\mmc.exe[2100] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ]
.text C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[2480] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ]
.text C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[2480] kernel32.dll!ExitProcess 7C81CAA2 5 Bytes JMP 003A2629 c:\windows.0\system32\hesudipi.dll
.text C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[2480] WS2_32.dll!connect 71A1406A 5 Bytes JMP 003A2C54 c:\windows.0\system32\hesudipi.dll
.text C:\WINDOWS.0\System32\alg.exe[2912] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ]
.text C:\WINDOWS.0\system32\taskmgr.exe[3708] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes [ BD, 55, EF, F4 ]
---- Kernel IAT/EAT - GMER 1.0.14 ----
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
---- Devices - GMER 1.0.14 ----
Device \FileSystem\Ntfs \Ntfs 5fdded8.sys
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip 5fdded8.sys
Device \Driver\aswTdi \Device\AswUdpFilter wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\aswTdi \Device\AswUdpFilter 5fdded8.sys
AttachedDevice \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp 5fdded8.sys
Device \Driver\aswTdi \Device\ASWTDI wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\aswTdi \Device\ASWTDI 5fdded8.sys
Device \Driver\aswTdi \Device\AswTcpFilter wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\aswTdi \Device\AswTcpFilter 5fdded8.sys
AttachedDevice \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp 5fdded8.sys
AttachedDevice \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp 5fdded8.sys
---- Modules - GMER 1.0.14 ----
Module \systemroot\system32\drivers\UACqqjkvdyu.sys (*** hidden *** ) F59ED000-F5A01000 (81920 bytes)
---- Services - GMER 1.0.14 ----
Service C:\WINDOWS.0\System32\drivers\5fdded8.sys (*** hidden *** ) [SYSTEM] 5fdded8 <-- ROOTKIT !!!
Service C:\WINDOWS.0\system32\drivers\UACqqjkvdyu.sys (*** hidden *** ) [SYSTEM] UACd.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@ImagePath \SystemRoot\System32\drivers\5fdded8.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACqqjkvdyu.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACqqjkvdyu.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACdupqoiyq.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACxwbikmap.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACxfaqgomy.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACjryrrfvs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UAClvucublh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UACwigitamp.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACcyuekars.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACwtmxelta.log
Reg HKLM\SYSTEM\ControlSet004\Services\5fdded8@ImagePath \SystemRoot\System32\drivers\5fdded8.sys
Reg HKLM\SYSTEM\ControlSet004\Services\5fdded8@Type 1
Reg HKLM\SYSTEM\ControlSet004\Services\5fdded8@Start 1
Reg HKLM\SYSTEM\ControlSet004\Services\5fdded8@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACqqjkvdyu.sys
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACqqjkvdyu.sys
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACdupqoiyq.dll
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACxwbikmap.dat
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACxfaqgomy.dll
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACjryrrfvs.dll
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UAClvucublh.dll
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UACwigitamp.log
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACcyuekars.log
Reg HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACwtmxelta.log
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- EOF - GMER 1.0.14 ----
 |
|
15.01.2009, 19:30
| #14 |
| | Ständige Werbepopups ohne das der Browser offen ist?! Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete:
C:\WINDOWS.0\system32\drivers\UACqqjkvdyu.sys
C:\WINDOWS.0\system32\drivers\UACd.sys
C:\WINDOWS.0\system32\UACdupqoiyq.dll
C:\WINDOWS.0\system32\UACxwbikmap.dat
C:\WINDOWS.0\system32\UACxfaqgomy.dll
C:\WINDOWS.0\system32\UACjryrrfvs.dll
C:\WINDOWS.0\system32\UAClvucublh.dll
C:\WINDOWS.0\system32\UACwigitamp.log
C:\WINDOWS.0\system32\UACcyuekars.log
C:\WINDOWS.0\system32\UACwtmxelta.log
ciao, andreas |
|
15.01.2009, 19:43
| #15 |
| | Ständige Werbepopups ohne das der Browser offen ist?!Code:
ATTFilter *******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "UACd.sys" found!
ImagePath: \systemroot\system32\drivers\UACqqjkvdyu.sys
Start Type: 1 (System)
Rootkit scan completed.
File "C:\WINDOWS.0\system32\drivers\UACqqjkvdyu.sys" deleted successfully.
Error: file "C:\WINDOWS.0\system32\drivers\UACd.sys" not found!
Deletion of file "C:\WINDOWS.0\system32\drivers\UACd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS.0\system32\UACdupqoiyq.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UACxwbikmap.dat" deleted successfully.
File "C:\WINDOWS.0\system32\UACxfaqgomy.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UACjryrrfvs.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UAClvucublh.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UACwigitamp.log" deleted successfully.
Error: file "C:\WINDOWS.0\system32\UACcyuekars.log" not found!
Deletion of file "C:\WINDOWS.0\system32\UACcyuekars.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS.0\system32\UACwtmxelta.log" not found!
Deletion of file "C:\WINDOWS.0\system32\UACwtmxelta.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
|
|
| Themen zu Ständige Werbepopups ohne das der Browser offen ist?! |
| ad-aware, adobe, antivirus, avast, avast!, bho, browser, down, excel, explorer, firewall, hijack, hijackthis, internet, internet explorer, magix, outlook express, popup, problem, programme, rundll, security, server, software, system, teamspeak, windows, windows xp |
Linear-Darstellung
