| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe Trojanerbefall TR/Patched.CK.56 und TR/Vundo.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.01.2009, 13:12
| #1 |
| |  Hilfe Trojanerbefall TR/Patched.CK.56 und TR/Vundo.Gen Hallo, hab mir gestern beim Installieren eines Programmes (heruntergeladen) mein System verseucht... Auf meinem Hauptrechner spiele ich gerade Windows neu auf, aber anscheinend ist auch meine externe Festplatte betroffen... Habe diese zum Daten überspielen auf meine zweitrechner (an dem ich gerade sitze) angesteckt und schon hat da mein Virenscanner (Antivir) auch alarm geschlagen... hier das logfile von hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:14:02, on 22.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\PixArt\PAC7311\Monitor.exe C:\Programme\pdf24\PDFBackend.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\iTunes\iTunes.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\antivir personaledition classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\xxx\Desktop\gmer.exe C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [razertra] C:\Programme\TerraTec Electronic GmbH\Mystify Razer\razertra.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - Startup: iTunes.lnk = C:\Programme\iTunes\iTunes.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Partypoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Partypoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1215258387093 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9226F1A3-FD24-4515-8CC7-997F1BCB1114}: NameServer = 85.255.116.30,85.255.112.144 O17 - HKLM\System\CCS\Services\Tcpip\..\{D5AC4E24-1AC7-4E20-AB35-EA94980A6040}: NameServer = 85.255.116.30,85.255.112.144 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.30,85.255.112.144 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.30,85.255.112.144 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe -- End of file - 8396 bytes Gmer hab ich auch schon laufen lassen, aber weiter weis ich jetzt nicht... bitte helft mir... |
|
22.01.2009, 13:16
| #2 |
| | Hilfe Trojanerbefall TR/Patched.CK.56 und TR/Vundo.Gen ach ja, hatte ich vergessen, das spuckte Antivir aus, als ich die meldung kam..
__________________In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\tmp1.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen und In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\tmp2.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Patched.CK.56' [trojan] gefunden. Ausgeführte Aktion: Datei löschen |
|
22.01.2009, 16:08
| #3 |
| | Hilfe Trojanerbefall TR/Patched.CK.56 und TR/Vundo.Gen Hat sich anscheinend erledigt...
__________________habe malewarebytes und vundofix laufenlassen und flashdisinfector so wie in anderen threads beschrieben, und nach einigen reboots und scans ist jetzt nix mehr zu finden... nur GMER schimpft noch, das 2 dateien verändert wurden... was soll ich damit machen? und wie??? gmer logfile: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-01-22 16:10:48 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT sptd.sys ZwCreateKey [0xF750F0B0] SSDT BA0DD16C ZwCreateThread SSDT sptd.sys ZwEnumerateKey [0xF7513D1C] SSDT sptd.sys ZwEnumerateValueKey [0xF75140BC] SSDT sptd.sys ZwOpenKey [0xF750F090] SSDT BA0DD158 ZwOpenProcess SSDT BA0DD15D ZwOpenThread SSDT sptd.sys ZwQueryKey [0xF7514194] SSDT sptd.sys ZwQueryValueKey [0xF7514014] SSDT sptd.sys ZwSetValueKey [0xF7514226] SSDT BA0DD167 ZwTerminateProcess SSDT BA0DD162 ZwWriteVirtualMemory Code 89CA10B8 ZwFlushInstructionCache Code B7AC5C80 pIofCallDriver ---- Kernel code sections - GMER 1.0.14 ---- .text ntoskrnl.exe!_abnormal_termination + F3 804E2DC4 1 Byte [ B0 ] .text ntoskrnl.exe!_abnormal_termination + F5 804E2DC6 2 Bytes [ 50, F7 ] PAGE ntoskrnl.exe!ZwFlushInstructionCache 805769AB 5 Bytes JMP 89CA10BC ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload BA4F462C 5 Bytes JMP 89E7B4D0 .text ntoskrnl.exe!_abnormal_termination + F3 804E2DC4 1 Byte [ B0 ] .text ntoskrnl.exe!_abnormal_termination + F5 804E2DC6 2 Bytes [ 50, F7 ] PAGE ntoskrnl.exe!NtAddAtom + 58F 805769AB 5 Bytes JMP 89CA10BC ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \WINDOWS\System32\Drivers\SPTDDRV1.SYS[ntoskrnl.exe!IoConnectInterrupt] [F751F718] sptd.sys IAT \WINDOWS\System32\Drivers\SPTDDRV1.SYS[ntoskrnl.exe!IofCompleteRequest] [F7534656] sptd.sys IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F751F6C4] sptd.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7535394] sptd.sys IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F751F718] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F750FAB6] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F750FBEE] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F750FB76] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F751071C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F75105F2] sptd.sys IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F75354E8] sptd.sys IAT \SystemRoot\System32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F75354E8] sptd.sys IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F75347AE] sptd.sys ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 8A2E81D8 AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.) Device \Driver\NetBT \Device\NetBT_Tcpip_{9226F1A3-FD24-4515-8CC7-997F1BCB1114} 89D241D8 Device \Driver\usbohci \Device\USBPDO-0 89E801D8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A2EA1D8 Device \Driver\dmio \Device\DmControl\DmConfig 8A2EA1D8 Device \Driver\dmio \Device\DmControl\DmPnP 8A2EA1D8 Device \Driver\dmio \Device\DmControl\DmInfo 8A2EA1D8 Device \Driver\usbohci \Device\USBPDO-1 89E801D8 Device \Driver\usbehci \Device\USBPDO-2 89EB21D8 Device ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation) Device \Driver\Ftdisk \Device\HarddiskVolume1 8A3511D8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 timntr.sys (TrueImage Backup Archive Explorer/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume2 8A3511D8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 timntr.sys (TrueImage Backup Archive Explorer/Acronis) Device \Driver\Cdrom \Device\CdRom0 89D6D990 Device \Driver\Ftdisk \Device\HarddiskVolume3 8A3511D8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 timntr.sys (TrueImage Backup Archive Explorer/Acronis) Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 8A3501D8 Device \Driver\atapi \Device\Ide\IdePort0 8A3501D8 Device \Driver\atapi \Device\Ide\IdePort1 8A3501D8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8A3501D8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8A3501D8 Device \Driver\NetBT \Device\NetBt_Wins_Export 89D241D8 Device \Driver\NetBT \Device\NetbiosSmb 89D241D8 Device \Driver\usbohci \Device\USBFDO-0 89E801D8 Device \Driver\usbohci \Device\USBFDO-1 89E801D8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89A604B0 Device \Driver\usbehci \Device\USBFDO-2 89EB21D8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89A604B0 Device \Driver\NetBT \Device\NetBT_Tcpip_{D5AC4E24-1AC7-4E20-AB35-EA94980A6040} 89D241D8 Device \Driver\Ftdisk \Device\FtControl 8A3511D8 Device \Driver\SI3112r \Device\Scsi\SI3112r1 8A2E91D8 Device \FileSystem\Cdfs \Cdfs 89BCE1D8 ---- Modules - GMER 1.0.14 ---- Module \systemroot\system32\drivers\gaopdxabdqvxsd.sys (*** hidden *** ) B7AC4000-B7AEC000 (163840 bytes) ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\drivers\gaopdxabdqvxsd.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ee7600552 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060afe32e Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060afe32e@001fe4533d77 0x87 0xB5 0x0D 0x86 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxabdqvxsd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxabdqvxsd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxkilfjxvk.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1362984210 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1148043029 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x91 0x71 0x7D 0x68 ... Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000ee7600552 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060afe32e Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060afe32e@001fe4533d77 0x87 0xB5 0x0D 0x86 ... Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxabdqvxsd.sys Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxabdqvxsd.sys Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxkilfjxvk.dll Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x91 0x71 0x7D 0x68 ... Reg HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version Reg HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version@Version 0xCA 0x37 0xCD 0x8A ... Reg HKLM\SOFTWARE\Classes\CLSID\{E4A94E78-10FA-F52F-3587-7C6635877C66}\InprocServer32@ C:\Programme\Gemeinsame Dateien\Microsoft Shared\Speech\SAPI.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{E4A94E78-10FA-F52F-3587-7C6635877C66}\InprocServer32@ThreadingModel Both Reg HKLM\SOFTWARE\Classes\CLSID\{E4A94E78-10FA-F52F-3587-7C6635877C66}\ProgID@ SAPI.SpTextSelectionInformation.1 Reg HKLM\SOFTWARE\Classes\CLSID\{E4A94E78-10FA-F52F-3587-7C6635877C66}\TypeLib@ {C866CA3A-32F7-11D2-9602-00C04F8EE628} Reg HKLM\SOFTWARE\Classes\CLSID\{E4A94E78-10FA-F52F-3587-7C6635877C66}\VersionIndependentProgID@ SAPI.SpTextSelectionInformation Reg HKLM\SOFTWARE\Classes\gaopdxvx Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxrun 71 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpff 8298 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxaff 3293 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxsrv -1056770279 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpos "xsr||yn=efhded`ox<jammhkYWB ---- EOF - GMER 1.0.14 ---- |
|
| Themen zu Hilfe Trojanerbefall TR/Patched.CK.56 und TR/Vundo.Gen |
| antivir, antivirus, antivirus scan, avira, bho, bonjour, computer, desktop, excel, festplatte, firefox, google, hijack, hijackthis, internet, internet explorer, logfile, mozilla, pdfcreator, scan, software, symantec, system, tr/vundo.gen, windows, windows xp, überspielen |
Linear-Darstellung
