| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.04.2009, 03:29
| #1 |
 |  Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Hallo liebe Forumsmitglieder! Ich wende mich an Euch, weil mein Problem vertrackt zu sein scheint und ich etwas den Überblick verloren habe, was ich noch machen muss, um mein System wieder sauber hinzubekommen - und ob ich das überhaupt kann oder ob ihr mir ratet, das System platt zu machen.  Vielen Dank erst einmal, dass Ihr hier so tolle Hilfe leistet! Ich habe mich schon durch die Anleitungen und einige Threads (mein Problem ähnelt wohl dem Thread browser-spinnen-nach-2-trojaner) gelesen, um mein Problem zu lösen - allerdings: mit jedem gelöschten Trojaner kamen zwei neue.  Also, ich beginne erst einmal, das Problem zu beschreiben und berichte dann, welche Schritte ich alles schon unternommen habe (ich verwende Windows XP Professional Service Pack 3). Begonnen hat es mit einer Datei, die ich ausgeführt habe, im Glauben, es wäre eine sichere Datei. Daraufhin meldete sich die Norman Security Suite, er habe zwei Trojaner entdeckt und in Quarantäne gesteckt. Dann begannen aber die eigentlichen Probleme. Sofort ging es mit Autorun.inf Meldungen los - dabei hatte ich eigentlich noch einige Tage vorher die Autorun-Funktion auf allen Laufwerken deaktiviert (und vorher noch das Windows-Update heruntergeladen, das die ordnungsgemäße Deaktivierung der Funktion gewährleisten soll). Ich schreib mal auf, was die Norman Security Suite alles gefunden hat: Code:
ATTFilter Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***. Infected file E:\Recycled\NPROTECT\00001102.inf Quarantined file E:\Recycled\NPROTECT\00001102.inf Deleted file E:\Recycled\NPROTECT\00001102.inf Removed Trojan BAT/AutoRun.IWK. File deleted.
Virus W32/Malware [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * File length: 28160 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYST Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file E:\Recycled\NPROTECT\00001101.EXE Quarantined file E:\Recycled\NPROTECT\00001101.EXE Deleted file E:\Recycled\NPROTECT\00001101.EXE
Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file F:\autorun.inf Quarantined file F:\autorun.inf Deleted file F:\autorun.inf Removed Trojan BAT/AutoRun.IWK. File deleted.
Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\autorun.inf Quarantined file C:\autorun.inf Deleted file C:\autorun.inf Removed Trojan BAT/AutoRun.IWK. File deleted.
Trojan Malware.EKER Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\Recycled\NPROTECT\00087431.EXE Quarantined file C:\Recycled\NPROTECT\00087431.EXE Deleted file C:\Recycled\NPROTECT\00087431.EXE
Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\Recycled\NPROTECT\00087498.inf Quarantined file C:\Recycled\NPROTECT\00087498.inf Deleted file C:\Recycled\NPROTECT\00087498.inf Removed Trojan BAT/AutoRun.IWK. File deleted.
Also, Autoruneater geladen und gestartet, hat auch brav noch zwei gefunden. Dann habe ich, weil ich das hier irgendwo gelesen hatte, mit Shift + Entf die Dateien in den recycled-Ordner auf den verschiedensten Platten bzw. Partitionen zu löschen, anfangs mit mäßigem Erfolg, weil immer Zugriffskonflikte gemeldet wurden. Schließlich ist es mir aber doch gelungen. Dann habe ich über den Ausführen-Befehl msconfig gestartet und ipconfig /flushdns ausgeführt, um die DNS-Server wieder zu löschen. Ich weiss nicht mehr, ob die dabei gelöscht wurden, oder ob das vorher schon der Malwarebytes' Anti-Malware gemacht hatte, aber da waren auf jeden Fall welche eingestellt! Sobald die Autorun.inf-Dateien eliminiert waren, meldeten sich im Systemtray rechts nacheinander drei Programme, die Autorun-Datei wäre defekt, ich solle irgendwas (CHDMX? Es war eine Buchstabenkombination, die ich mir nicht merken konnte, bei den ganzen 1000 Fehlermeldungen) ausführen. Zunächst billy.exe - offensichtlich Teil des Viruses. Dann später noch RTHDCPL.exe und dann ALCMTR.exe. Laut Filenet sind das Dateien, die vom Realtek Soundsystem verwendet werden, die aber auch von Viren befallen sein können, vor allem, wenn sie im System-Ordner oder im Windows-Ordner seien.  Daraufhin wollte ich schauen, wo die Dateien sich befinden - aber siehe da, der oder die Trojaner hatten meine Windows-Suche außer Funktion gesetzt, sofort gab's einen Bluescreen. So, dann habe ich Malwarebytes' Anti-Malware starten wollen - ging aber nicht. Dann hab ich den Trick mit dem Umbenennen angewandt (von exe auf com), das klappte dann wunderbar. Hier die Logliste: Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3
05.04.2009 07:53:33
mbam-log-2009-04-05 (07-53-33).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 146564
Laufzeit: 13 minute(s), 42 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 20
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\autorun.inf (Worm.Agent.H) -> Delete on reboot.
C:\RECYCLER\S-8-0-42-100030408-100022070-100017761-1921.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3
05.04.2009 08:30:56
mbam-log-2009-04-05 (08-30-56).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 146644
Laufzeit: 13 minute(s), 15 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
Daraufhin habe ich Avenger gestartet. Siehe da, er hat einen Rootkit gefunden. Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "gaopdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\gaopdxaeoitkmnkenfbgdndquaftsoqdxltjlk.sys
Driver disabled successfully.
Rootkit scan completed.
Completed script processing.
*******************
Finished! Terminate.
Dann noch mal gestartet, und mit etwas Übung dann versucht, Treiber und Dateien zu löschen. Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\A0075392.sys" not found!
Deletion of driver "A0075392.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Driver "gaopdxserv.sys" deleted successfully.
Error: could not open file "C:\System Volume Information\_restore{49A5E9B2-2D9B-419B-B076-ECC3C59F7336}\RP222\A0075392.sys"
Deletion of file "C:\System Volume Information\_restore{49A5E9B2-2D9B-419B-B076-ECC3C59F7336}\RP222\A0075392.sys" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Completed script processing.
*******************
Finished! Terminate.
 |
|
07.04.2009, 04:14
| #2 |
| |  Fortsetzung: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ So, nachdem ich mir nicht sicher war, ob der Avanger alles gefunden hat bzw. ob dadurch Folgeprobleme aufgetaucht sind, hab ich noch mal MBAM gestartet.
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3
05.04.2009 14:11:40
mbam-log-2009-04-05 (14-11-40).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 115941
Laufzeit: 20 minute(s), 21 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
E:\download\avenger.exe (Malware.Tool) -> Not selected for removal.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
E:\download\avenger.exe (Malware.Tool) -> Not selected for removal.
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
Dann noch einmal: Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3
05.04.2009 15:56:11
mbam-log-2009-04-05 (15-56-11).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 113591
Laufzeit: 18 minute(s), 41 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Recycled\NPROTECT\00000150.exe (Adware.Cinmus) -> Quarantined and deleted successfully.
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:27:07, on 05.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Norman\Npm\Bin\Elogsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norman\Npm\Bin\Zanda.exe C:\Programme\Norman\npm\bin\nvoy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\Programme\Speed Disk\nopdb.exe C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Norman\Npm\bin\NVCSCHED.EXE C:\Programme\Norman\Npm\bin\NJEEVES.EXE C:\Programme\Norman\npc\bin\npcsvc32.exe C:\WINDOWS\system32\TPSBattM.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Atheros\ACU.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Norman\nse\bin\NSESVC.EXE C:\Programme\Norman\npc\bin\nuaa.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Norman\Npm\Bin\ZLH.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\Programme\Rainlendar2\Rainlendar2.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE C:\Programme\Norman\Nvc\bin\nvcoas.exe C:\Programme\Norman\Nvc\Bin\Nip.exe C:\Programme\Norman\Nvc\Bin\cclaw.exe C:\WINDOWS\system32\wuauclt.exe E:\download\avenger.exe C:\WINDOWS\system32\NOTEPAD.EXE E:\download\HiJackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [TFncKy] C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe O4 - HKLM\..\Run: [NDSTray.exe] C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH O4 - HKLM\..\Run: [NPCTray] C:\Programme\Norman\npc\bin\npc_tray.exe /LOAD O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\Bin\Elogsvc.exe O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Parental Control (NPC) - Norman ASA - C:\Programme\Norman\npc\bin\npcsvc32.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\nse\bin\NSESVC.EXE O23 - Service: Norman User Activity Agent (NUAA) - Norman ASA - C:\Programme\Norman\npc\bin\nuaa.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Programme\Norman\Npm\bin\NVCSCHED.EXE O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Programme\Norman\npm\bin\nvoy.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe -- End of file - 7201 bytes Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
|
|
07.04.2009, 04:15
| #3 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Catch Me log:
__________________Code:
ATTFilter catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\Recycled\NPROTECT
C:\Recycled\NPROTECT\NPROTECT.LOG 647168 bytes
C:\Recycled\NPROTECT\00000000.INI 16384 bytes
C:\Recycled\NPROTECT\00000002.INI 16384 bytes
C:\Recycled\NPROTECT\00000003.INI 16384 bytes
C:\Recycled\NPROTECT\00000004.INI 16384 bytes
C:\Recycled\NPROTECT\00000007.edb 1056768 bytes
C:\Recycled\NPROTECT\00000024.JOB 8192 bytes
C:\Recycled\NPROTECT\00000025.niu 8192 bytes
C:\Recycled\NPROTECT\00000026.edb 65536 bytes
C:\Recycled\NPROTECT\00000029 8192 bytes
C:\Recycled\NPROTECT\00000030 8192 bytes
C:\Recycled\NPROTECT\00000043 8192 bytes
C:\Recycled\NPROTECT\00000044 8192 bytes
C:\Recycled\NPROTECT\00000048.PF 24576 bytes
C:\Recycled\NPROTECT\00000049.INI 16384 bytes
C:\Recycled\NPROTECT\00000053.INI 16384 bytes
C:\Recycled\NPROTECT\00000054.INI 16384 bytes
C:\Recycled\NPROTECT\00000055.INI 16384 bytes
C:\Recycled\NPROTECT\00000062.edb 1056768 bytes
C:\Recycled\NPROTECT\00000069.JOB 8192 bytes
C:\Recycled\NPROTECT\00000076.edb 65536 bytes
C:\Recycled\NPROTECT\00000090.edb 65536 bytes
C:\Recycled\NPROTECT\00000095 8192 bytes
C:\Recycled\NPROTECT\00000096 8192 bytes
C:\Recycled\NPROTECT\00000103.niu 8192 bytes
C:\Recycled\NPROTECT\00000107.CAB 24576 bytes
C:\Recycled\NPROTECT\00000114.edb 65536 bytes
C:\Recycled\NPROTECT\00000117.ORI 32768 bytes
C:\Recycled\NPROTECT\00000118.TXT 8192 bytes
C:\Recycled\NPROTECT\00000121.sol 8192 bytes
C:\Recycled\NPROTECT\00000122.sol 8192 bytes
C:\Recycled\NPROTECT\00000123.sol 8192 bytes
C:\Recycled\NPROTECT\00000124.sol 8192 bytes
C:\Recycled\NPROTECT\00000125.sol 8192 bytes
C:\Recycled\NPROTECT\00000126.sol 8192 bytes
C:\Recycled\NPROTECT\00000127.sol 8192 bytes
C:\Recycled\NPROTECT\00000128.sol 8192 bytes
C:\Recycled\NPROTECT\00000129.sol 8192 bytes
C:\Recycled\NPROTECT\00000130.sol 8192 bytes
C:\Recycled\NPROTECT\00000131.sol 8192 bytes
C:\Recycled\NPROTECT\00000132.sol 8192 bytes
C:\Recycled\NPROTECT\00000133.sol 8192 bytes
C:\Recycled\NPROTECT\00000134.sol 8192 bytes
C:\Recycled\NPROTECT\00000135.sol 8192 bytes
C:\Recycled\NPROTECT\00000136.sol 8192 bytes
C:\Recycled\NPROTECT\00000137.sol 8192 bytes
C:\Recycled\NPROTECT\00000138.sol 8192 bytes
C:\Recycled\NPROTECT\00000139.sol 8192 bytes
C:\Recycled\NPROTECT\00000140.sol 8192 bytes
C:\Recycled\NPROTECT\00000141.sol 8192 bytes
C:\Recycled\NPROTECT\00000142.sol 8192 bytes
C:\Recycled\NPROTECT\00000143.sol 8192 bytes
C:\Recycled\NPROTECT\00000144.SOL 8192 bytes
C:\Recycled\NPROTECT\00000146.bat 8192 bytes
C:\Recycled\NPROTECT\00000148.txt 8192 bytes
C:\Recycled\NPROTECT\00000149.exe 139264 bytes
C:\Recycled\NPROTECT\00000212 8192 bytes
C:\Recycled\NPROTECT\00000151.bat 8192 bytes
C:\Recycled\NPROTECT\00000153.INI 16384 bytes
C:\Recycled\NPROTECT\00000156.INI 16384 bytes
C:\Recycled\NPROTECT\00000157.INI 16384 bytes
C:\Recycled\NPROTECT\00000158.INI 16384 bytes
C:\Recycled\NPROTECT\00000183.PF 172032 bytes
C:\Recycled\NPROTECT\00000184.PF 8192 bytes
C:\Recycled\NPROTECT\00000191.PF 40960 bytes
C:\Recycled\NPROTECT\00000203.JOB 8192 bytes
C:\Recycled\NPROTECT\00000204.edb 1056768 bytes
C:\Recycled\NPROTECT\00000205.edb 65536 bytes
C:\Recycled\NPROTECT\00000206 8192 bytes
C:\Recycled\NPROTECT\00000207 8192 bytes
C:\Recycled\NPROTECT\00000277 40960 bytes
C:\Recycled\NPROTECT\00000214.txt 8192 bytes
C:\Recycled\NPROTECT\00000215.zip 8192 bytes
C:\Recycled\NPROTECT\00000216 8192 bytes
C:\Recycled\NPROTECT\00000218.INI 16384 bytes
C:\Recycled\NPROTECT\00000220.INI 16384 bytes
C:\Recycled\NPROTECT\00000221.INI 16384 bytes
C:\Recycled\NPROTECT\00000222.INI 16384 bytes
C:\Recycled\NPROTECT\00000225.edb 1056768 bytes
C:\Recycled\NPROTECT\00000246.JOB 8192 bytes
C:\Recycled\NPROTECT\00000250.rbs 16384 bytes
C:\Recycled\NPROTECT\00000251.ipi 8192 bytes
C:\Recycled\NPROTECT\00000252.msi 6184960 bytes
C:\Recycled\NPROTECT\00000261.edb 65536 bytes
C:\Recycled\NPROTECT\00000263.PF 65536 bytes
C:\Recycled\NPROTECT\00000265.THE 8192 bytes
C:\Recycled\NPROTECT\00000268 8192 bytes
C:\Recycled\NPROTECT\00000269 8192 bytes
C:\Recycled\NPROTECT\00000278 8192 bytes
C:\Recycled\NPROTECT\00000279 8192 bytes
C:\Recycled\NPROTECT\00000280 8192 bytes
C:\Recycled\NPROTECT\00000281 8192 bytes
C:\Recycled\NPROTECT\00000282 8192 bytes
C:\Recycled\NPROTECT\00000283.db 8192 bytes
C:\Recycled\NPROTECT\00000284.SYS 40960 bytes
C:\Recycled\NPROTECT\00000288.ndf 65536 bytes
C:\Recycled\NPROTECT\00000289.ndf 65536 bytes
C:\Recycled\NPROTECT\00000290.db 8192 bytes
C:\Recycled\NPROTECT\00000291 8192 bytes
C:\Recycled\NPROTECT\00000292 8192 bytes
C:\Recycled\NPROTECT\00000293 8192 bytes
C:\Recycled\NPROTECT\00000294 8192 bytes
C:\Recycled\NPROTECT\00000295 8192 bytes
C:\Recycled\NPROTECT\00000296 40960 bytes
C:\Recycled\NPROTECT\00000298.SBU 40960 bytes
C:\Recycled\NPROTECT\00000299.db 8192 bytes
C:\Recycled\NPROTECT\00000300.DSC 8192 bytes
C:\Recycled\NPROTECT\00000301.db 8192 bytes
C:\Recycled\NPROTECT\00000302.SBU 8192 bytes
C:\Recycled\NPROTECT\00000308.ini 8192 bytes
C:\Recycled\NPROTECT\00000309.ini 8192 bytes
C:\Recycled\NPROTECT\00000310.SOL 8192 bytes
C:\Recycled\NPROTECT\00000311.SOL 8192 bytes
C:\Recycled\NPROTECT\00000312.sol 8192 bytes
C:\Recycled\NPROTECT\00000313.sol 8192 bytes
C:\Recycled\NPROTECT\00000314.sol 8192 bytes
C:\Recycled\NPROTECT\00000318.log 8192 bytes
C:\Recycled\NPROTECT\00000322.log 8192 bytes
C:\Recycled\NPROTECT\00000326.LOG 8192 bytes
C:\Recycled\NPROTECT\00000330.log 8192 bytes
C:\Recycled\NPROTECT\00000331 8192 bytes
C:\Recycled\NPROTECT\00000333.GID 114688 bytes
C:\Recycled\NPROTECT\00000334.GID 147456 bytes
C:\Recycled\NPROTECT\00000335.~TH 8192 bytes
C:\Recycled\NPROTECT\00000336.~AN 8192 bytes
C:\Recycled\NPROTECT\00000337.WAB 180224 bytes
C:\Recycled\NPROTECT\00000338.GID 16384 bytes
C:\Recycled\NPROTECT\00000339.GID 16384 bytes
C:\Recycled\NPROTECT\00000340.GID 16384 bytes
C:\Recycled\NPROTECT\00000341.GID 16384 bytes
C:\Recycled\NPROTECT\00000342.PRV 8192 bytes
C:\Recycled\NPROTECT\00000343.SYD 811008 bytes
C:\Recycled\NPROTECT\00000344.SYD 1933312 bytes
C:\Recycled\NPROTECT\00000345.DB 8192 bytes
C:\Recycled\NPROTECT\00000346.DB 24576 bytes
C:\Recycled\NPROTECT\00000347.DB 8192 bytes
C:\Recycled\NPROTECT\00000348.DB 8192 bytes
C:\Recycled\NPROTECT\00000349.DB 8192 bytes
C:\Recycled\NPROTECT\00000350.DB 8192 bytes
C:\Recycled\NPROTECT\00000351.DB 8192 bytes
C:\Recycled\NPROTECT\00000352.DB 8192 bytes
C:\Recycled\NPROTECT\00000353.DB 8192 bytes
C:\Recycled\NPROTECT\00000354.DB 8192 bytes
C:\Recycled\NPROTECT\00000355.DB 8192 bytes
C:\Recycled\NPROTECT\00000356.DB 8192 bytes
C:\Recycled\NPROTECT\00000357.DB 8192 bytes
C:\Recycled\NPROTECT\00000358.DB 8192 bytes
C:\Recycled\NPROTECT\00000359.DB 8192 bytes
C:\Recycled\NPROTECT\00000360.DB 8192 bytes
C:\Recycled\NPROTECT\00000361.DB 16384 bytes
C:\Recycled\NPROTECT\00000362.DB 8192 bytes
C:\Recycled\NPROTECT\00000363.DB 8192 bytes
C:\Recycled\NPROTECT\00000364.DB 8192 bytes
C:\Recycled\NPROTECT\00000365.DB 8192 bytes
C:\Recycled\NPROTECT\00000366.DB 8192 bytes
C:\Recycled\NPROTECT\00000367.DB 16384 bytes
C:\Recycled\NPROTECT\00000368.DB 8192 bytes
C:\Recycled\NPROTECT\00000369.DB 8192 bytes
C:\Recycled\NPROTECT\00000370.DB 8192 bytes
C:\Recycled\NPROTECT\00000371.DB 8192 bytes
C:\Recycled\NPROTECT\00000372.DB 8192 bytes
C:\Recycled\NPROTECT\00000373.DB 8192 bytes
C:\Recycled\NPROTECT\00000374.DB 8192 bytes
C:\Recycled\NPROTECT\00000375.DB 155648 bytes
C:\Recycled\NPROTECT\00000376.DB 24576 bytes
C:\Recycled\NPROTECT\00000377.DB 32768 bytes
C:\Recycled\NPROTECT\00000378.DB 8192 bytes
C:\Recycled\NPROTECT\00000379.DB 8192 bytes
C:\Recycled\NPROTECT\00000380.DB 376832 bytes
C:\Recycled\NPROTECT\00000381.DB 32768 bytes
C:\Recycled\NPROTECT\00000382.DB 139264 bytes
C:\Recycled\NPROTECT\00000383.DB 57344 bytes
C:\Recycled\NPROTECT\00000384.DB 32768 bytes
C:\Recycled\NPROTECT\00000385.DB 106496 bytes
C:\Recycled\NPROTECT\00000386.DB 16384 bytes
C:\Recycled\NPROTECT\00000387.DB 40960 bytes
C:\Recycled\NPROTECT\00000388.DB 16384 bytes
C:\Recycled\NPROTECT\00000389.DB 40960 bytes
C:\Recycled\NPROTECT\00000390.DB 8192 bytes
C:\Recycled\NPROTECT\00000391.DB 24576 bytes
C:\Recycled\NPROTECT\00000392.DB 16384 bytes
C:\Recycled\NPROTECT\00000393.DB 8192 bytes
C:\Recycled\NPROTECT\00000394.DB 24576 bytes
C:\Recycled\NPROTECT\00000395.DB 57344 bytes
C:\Recycled\NPROTECT\00000396.DB 98304 bytes
C:\Recycled\NPROTECT\00000397.DB 278528 bytes
C:\Recycled\NPROTECT\00000398.DB 16384 bytes
C:\Recycled\NPROTECT\00000399.DB 114688 bytes
C:\Recycled\NPROTECT\00000400.DB 65536 bytes
C:\Recycled\NPROTECT\00000401.DB 548864 bytes
C:\Recycled\NPROTECT\00000402.DB 65536 bytes
C:\Recycled\NPROTECT\00000403.DB 49152 bytes
C:\Recycled\NPROTECT\00000404.DB 57344 bytes
C:\Recycled\NPROTECT\00000405.DB 49152 bytes
C:\Recycled\NPROTECT\00000406.DB 8192 bytes
C:\Recycled\NPROTECT\00000407.DB 122880 bytes
C:\Recycled\NPROTECT\00000408.DB 8192 bytes
C:\Recycled\NPROTECT\00000409.DB 16384 bytes
C:\Recycled\NPROTECT\00000410.DB 8192 bytes
C:\Recycled\NPROTECT\00000411.DB 16384 bytes
C:\Recycled\NPROTECT\00000412.DB 8192 bytes
C:\Recycled\NPROTECT\00000413.DB 106496 bytes
C:\Recycled\NPROTECT\00000414.DB 16384 bytes
C:\Recycled\NPROTECT\00000415.DB 16384 bytes
C:\Recycled\NPROTECT\00000416.DB 65536 bytes
C:\Recycled\NPROTECT\00000417.DB 65536 bytes
C:\Recycled\NPROTECT\00000418.DB 65536 bytes
C:\Recycled\NPROTECT\00000419.DB 65536 bytes
C:\Recycled\NPROTECT\00000420.DB 65536 bytes
C:\Recycled\NPROTECT\00000421.DB 65536 bytes
C:\Recycled\NPROTECT\00000422.DB 65536 bytes
C:\Recycled\NPROTECT\00000423.DB 65536 bytes
C:\Recycled\NPROTECT\00000424.DB 65536 bytes
C:\Recycled\NPROTECT\00000425.DB 65536 bytes
C:\Recycled\NPROTECT\00000426.DB 65536 bytes
C:\Recycled\NPROTECT\00000427.DB 65536 bytes
C:\Recycled\NPROTECT\00000428.DB 65536 bytes
C:\Recycled\NPROTECT\00000429.DB 65536 bytes
C:\Recycled\NPROTECT\00000430.DB 65536 bytes
C:\Recycled\NPROTECT\00000431.DB 32768 bytes
C:\Recycled\NPROTECT\00000432.DB 32768 bytes
C:\Recycled\NPROTECT\00000433.DB 32768 bytes
C:\Recycled\NPROTECT\00000434.DB 40960 bytes
C:\Recycled\NPROTECT\00000435.DB 24576 bytes
C:\Recycled\NPROTECT\00000436.DB 24576 bytes
C:\Recycled\NPROTECT\00000437.DB 16384 bytes
C:\Recycled\NPROTECT\00000438.DB 32768 bytes
C:\Recycled\NPROTECT\00000439.DB 32768 bytes
C:\Recycled\NPROTECT\00000440.DB 16384 bytes
C:\Recycled\NPROTECT\00000441.DB 24576 bytes
C:\Recycled\NPROTECT\00000442.DB 32768 bytes
C:\Recycled\NPROTECT\00000443.DB 24576 bytes
C:\Recycled\NPROTECT\00000444.DB 40960 bytes
C:\Recycled\NPROTECT\00000445.chk 8192 bytes
C:\Recycled\NPROTECT\00000446.chk 8192 bytes
C:\Recycled\NPROTECT\00000447.chk 8192 bytes
C:\Recycled\NPROTECT\00000448.chk 8192 bytes
C:\Recycled\NPROTECT\00000449.chk 8192 bytes
C:\Recycled\NPROTECT\00000450.dmp 8192 bytes
C:\Recycled\NPROTECT\00000451.dmp 8192 bytes
C:\Recycled\NPROTECT\00000452.chk 8192 bytes
C:\Recycled\NPROTECT\00000453.chk 8192 bytes
C:\Recycled\NPROTECT\00000454.WBK 32768 bytes
C:\Recycled\NPROTECT\00000455.STA 8192 bytes
C:\Recycled\NPROTECT\00000456.STA 8192 bytes
C:\Recycled\NPROTECT\00000457.PSM 8192 bytes
C:\Recycled\NPROTECT\00000458.exe 770048 bytes
C:\Recycled\NPROTECT\00000459.dll 32768 bytes
C:\Recycled\NPROTECT\00000460.dll 393216 bytes
C:\Recycled\NPROTECT\00000461.dll 32768 bytes
C:\Recycled\NPROTECT\00000462.INF 32768 bytes
C:\Recycled\NPROTECT\00000463.INF 32768 bytes
C:\Recycled\NPROTECT\00000464.INF 24576 bytes
C:\Recycled\NPROTECT\00000465.INF 24576 bytes
C:\Recycled\NPROTECT\00000466.inf 8192 bytes
C:\Recycled\NPROTECT\00000467.inf 8192 bytes
C:\Recycled\NPROTECT\00000468.url 8192 bytes
C:\Recycled\NPROTECT\00000469.cat 16384 bytes
C:\Recycled\NPROTECT\00000470.cat 16384 bytes
C:\Recycled\NPROTECT\00000471.txt 8192 bytes
C:\Recycled\NPROTECT\00000472.ver 8192 bytes
C:\Recycled\NPROTECT\00000473.exe 237568 bytes
C:\Recycled\NPROTECT\00000474.dll 24576 bytes
C:\Recycled\NPROTECT\00000475.STA 8192 bytes
C:\Recycled\NPROTECT\00000476.rq0 8192 bytes
C:\Recycled\NPROTECT\00000477.sys 1851392 bytes
C:\Recycled\NPROTECT\00000478.sys 1851392 bytes
C:\Recycled\NPROTECT\00000479.STA 8192 bytes
C:\Recycled\NPROTECT\00000480.STA 8192 bytes
C:\Recycled\NPROTECT\00000481.PSM 8192 bytes
C:\Recycled\NPROTECT\00000482.INF 32768 bytes
C:\Recycled\NPROTECT\00000483.INF 32768 bytes
C:\Recycled\NPROTECT\00000484.INF 24576 bytes
C:\Recycled\NPROTECT\00000485.INF 24576 bytes
C:\Recycled\NPROTECT\00000486.inf 8192 bytes
C:\Recycled\NPROTECT\00000487.exe 770048 bytes
C:\Recycled\NPROTECT\00000488.inf 8192 bytes
C:\Recycled\NPROTECT\00000489.url 8192 bytes
C:\Recycled\NPROTECT\00000490.dll 393216 bytes
C:\Recycled\NPROTECT\00000491.dll 32768 bytes
C:\Recycled\NPROTECT\00000492.cat 16384 bytes
C:\Recycled\NPROTECT\00000493.txt 8192 bytes
C:\Recycled\NPROTECT\00000494.ver 8192 bytes
C:\Recycled\NPROTECT\00000495.exe 237568 bytes
C:\Recycled\NPROTECT\00000496.dll 24576 bytes
C:\Recycled\NPROTECT\00000497.STA 8192 bytes
C:\Recycled\NPROTECT\00000498.rq0 8192 bytes
C:\Recycled\NPROTECT\00000499.dll 147456 bytes
C:\Recycled\NPROTECT\00000500.dll 147456 bytes
C:\Recycled\NPROTECT\00000501.STA 8192 bytes
C:\Recycled\NPROTECT\00000502.STA 8192 bytes
C:\Recycled\NPROTECT\00000503.PSM 8192 bytes
C:\Recycled\NPROTECT\00000504.exe 770048 bytes
C:\Recycled\NPROTECT\00000505.INF 32768 bytes
C:\Recycled\NPROTECT\00000506.INF 32768 bytes
C:\Recycled\NPROTECT\00000507.INF 32768 bytes
C:\Recycled\NPROTECT\00000508.INF 32768 bytes
C:\Recycled\NPROTECT\00000509.inf 8192 bytes
C:\Recycled\NPROTECT\00000510.inf 8192 bytes
C:\Recycled\NPROTECT\00000511.url 8192 bytes
C:\Recycled\NPROTECT\00000512.dll 393216 bytes
C:\Recycled\NPROTECT\00000513.dll 32768 bytes
C:\Recycled\NPROTECT\00000514.cat 16384 bytes
C:\Recycled\NPROTECT\00000515.txt 8192 bytes
C:\Recycled\NPROTECT\00000516.ver 8192 bytes
C:\Recycled\NPROTECT\00000517.exe 237568 bytes
C:\Recycled\NPROTECT\00000518.dll 24576 bytes
C:\Recycled\NPROTECT\00000519.STA 8192 bytes
C:\Recycled\NPROTECT\00000520.rq0 8192 bytes
C:\Recycled\NPROTECT\00000521.dll 8503296 bytes
C:\Recycled\NPROTECT\00000522.dll 8503296 bytes
C:\Recycled\NPROTECT\00000528.INI 16384 bytes
C:\Recycled\NPROTECT\00000530.INI 16384 bytes
C:\Recycled\NPROTECT\00000532.INI 16384 bytes
C:\Recycled\NPROTECT\00000533.INI 16384 bytes
C:\Recycled\NPROTECT\00000534.THE 8192 bytes
C:\Recycled\NPROTECT\00000548.JOB 8192 bytes
C:\Recycled\NPROTECT\00000549.PF 450560 bytes
C:\Recycled\NPROTECT\00000551.THE 8192 bytes
C:\Recycled\NPROTECT\00000552.dat 16384 bytes
C:\Recycled\NPROTECT\00000553.BMP 1998848 bytes
C:\Recycled\NPROTECT\00000555.niu 8192 bytes
C:\Recycled\NPROTECT\00000556.edb 65536 bytes
C:\Recycled\NPROTECT\00000558 8192 bytes
C:\Recycled\NPROTECT\00000559 8192 bytes
C:\Recycled\NPROTECT\00000563.INI 16384 bytes
C:\Recycled\NPROTECT\00000565.INI 16384 bytes
C:\Recycled\NPROTECT\00000567.INI 16384 bytes
C:\Recycled\NPROTECT\00000568.INI 16384 bytes
C:\Recycled\NPROTECT\00000585.JOB 8192 bytes
C:\Recycled\NPROTECT\00000586.edb 65536 bytes
C:\Recycled\NPROTECT\00000587.niu 8192 bytes
C:\Recycled\NPROTECT\00000589.INI 16384 bytes
C:\Recycled\NPROTECT\00000591.INI 16384 bytes
C:\Recycled\NPROTECT\00000593.INI 16384 bytes
C:\Recycled\NPROTECT\00000594.INI 16384 bytes
C:\Recycled\NPROTECT\00000611.JOB 8192 bytes
C:\Recycled\NPROTECT\00000612.383 8192 bytes
C:\Recycled\NPROTECT\00000613.400 24576 bytes
C:\Recycled\NPROTECT\00000614.400 8192 bytes
C:\Recycled\NPROTECT\00000615.487 8192 bytes
C:\Recycled\NPROTECT\00000616.487 8192 bytes
C:\Recycled\NPROTECT\00000617.141 8192 bytes
C:\Recycled\NPROTECT\00000618.141 8192 bytes
C:\Recycled\NPROTECT\00000619.161 8192 bytes
C:\Recycled\NPROTECT\00000620.161 8192 bytes
C:\Recycled\NPROTECT\00000621.964 8192 bytes
C:\Recycled\NPROTECT\00000622.964 8192 bytes
C:\Recycled\NPROTECT\00000623.218 8192 bytes
C:\Recycled\NPROTECT\00000624.218 8192 bytes
C:\Recycled\NPROTECT\00000625.734 8192 bytes
C:\Recycled\NPROTECT\00000626.734 8192 bytes
C:\Recycled\NPROTECT\00000627.801 24576 bytes
C:\Recycled\NPROTECT\00000628.801 8192 bytes
C:\Recycled\NPROTECT\00000629.edb 65536 bytes
C:\Recycled\NPROTECT\00000630.ini 8192 bytes
C:\Recycled\NPROTECT\00000631.ini 8192 bytes
C:\Recycled\NPROTECT\00000632.txt 8192 bytes
C:\Recycled\NPROTECT\00000633.DAT 8192 bytes
C:\Recycled\NPROTECT\00000637.log 8192 bytes
C:\Recycled\NPROTECT\00000641.log 8192 bytes
C:\Recycled\NPROTECT\00000645.LOG 8192 bytes
C:\Recycled\NPROTECT\00000649.log 8192 bytes
C:\Recycled\NPROTECT\00000653.INI 16384 bytes
C:\Recycled\NPROTECT\00000655.INI 16384 bytes
C:\Recycled\NPROTECT\00000657.INI 16384 bytes
C:\Recycled\NPROTECT\00000658.INI 16384 bytes
C:\Recycled\NPROTECT\00000676.JOB 8192 bytes
C:\Recycled\NPROTECT\00000677.niu 8192 bytes
C:\Recycled\NPROTECT\00000679.edb 65536 bytes
C:\Recycled\NPROTECT\00000681.ini 8192 bytes
C:\Recycled\NPROTECT\00000682.ini 8192 bytes
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 373
Code:
ATTFilter 04/06/09 22:07:00 [Info]: BlackLight Engine 2.2.1092 initialized
04/06/09 22:07:00 [Info]: OS: 5.1 build 2600 (Service Pack 3)
04/06/09 22:07:00 [Note]: 7019 4
04/06/09 22:07:00 [Note]: 7005 0
04/06/09 22:07:10 [Note]: 7006 0
04/06/09 22:07:10 [Note]: 7011 724
04/06/09 22:07:10 [Note]: 7035 0
04/06/09 22:07:10 [Note]: 7026 0
04/06/09 22:07:10 [Note]: 7026 0
04/06/09 22:07:16 [Note]: FSRAW library version 1.7.1024
04/06/09 22:07:59 [Note]: 7007 0
Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 04/05/2009 at 04:54 PM
Application Version : 4.26.1000
Core Rules Database Version : 3829
Trace Rules Database Version: 1785
Scan type : Complete Scan
Total Scan Time : 00:47:35
Memory items scanned : 477
Memory threats detected : 0
Registry items scanned : 4830
Registry threats detected : 2
File items scanned : 72362
File threats detected : 6
Rootkit.Agent/Gen-GAOPDX
HKLM\System\ControlSet001\Services\gaopdxserv.sys
C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXAEOITKMNKENFBGDNDQUAFTSOQDXLTJLK.SYS
HKLM\System\ControlSet001\Enum\Root\LEGACY_gaopdxserv.sys
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.sun[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@revsci[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt
Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com
Generiert 04/05/2009 bei 07:08 PM
Version der Applikation : 4.26.1000
Version der Kern-Datenbank : 3829
Version der Spur-Datenbank : 1785
Scan Art : Schneller Scann
Totale Scann-Zeit : 01:32:33
Gescannte Speicherelemente : 219
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 464
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 42506
Erfasste Datei-Elemente : 0
Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com
Generiert 04/06/2009 bei 10:56 PM
Version der Applikation : 4.26.1000
Version der Kern-Datenbank : 3829
Version der Spur-Datenbank : 1785
Scan Art : kompletter Scann
Totale Scann-Zeit : 00:48:03
Gescannte Speicherelemente : 485
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 4828
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 71962
Erfasste Datei-Elemente : 0
|
|
07.04.2009, 04:23
| #4 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 So, dann hab ich noch GMER durchlaufen lassen: Code:
ATTFilter GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-07 04:51:07
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA96F5DF0]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Norman\Nvc\Bin\cclaw.exe[1544] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A
.text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A
.text C:\Programme\Toshiba\Toshiba Applet\thotkey.exe[2256] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Norman\nse\bin\NSESVC.EXE[2264] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe[2272] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A
.text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\igfxsrvc.exe[2520] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2540] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\WINDOWS\system32\hkcmd.exe[2552] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\TPSBattM.exe[2628] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\igfxpers.exe[2640] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Atheros\ACU.exe[2664] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A
.text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A
.text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A
.text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A
.text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A
.text C:\Programme\Windows Defender\MSASCui.exe[2700] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[2724] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\ctfmon.exe[2864] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A
.text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A
.text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F210F5A
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1E0F5A
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A
.text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\NOTEPAD.EXE[3008] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\NOTEPAD.EXE[3008] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\NOTEPAD.EXE[3036] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\NOTEPAD.EXE[3036] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text E:\download\87t4nqij.exe[3492] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text E:\download\87t4nqij.exe[3492] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text C:\Programme\Norman\Nvc\bin\nvcoas.exe[3532] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\wuauclt.exe[3796] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!htons 71A12E53 6 Bytes JMP 5F190F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 1F, 5F] {PUSH DS; ADD [EDI], BL; POP EDI}
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F070F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!connect 71A14A07 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F210F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F160F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F130F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F100F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!accept 71A21040 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Norman\Nvc\Bin\Nip.exe[3828] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
|
|
07.04.2009, 04:28
| #5 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Teil 2, da für einen Post zu lang: Code:
ATTFilter ---- Files - GMER 1.0.15 ----
File C:\Recycled\NPROTECT
File C:\Recycled\NPROTECT\NPROTECT.LOG
File C:\Recycled\NPROTECT\00000000.INI
File C:\Recycled\NPROTECT\00000002.INI
File C:\Recycled\NPROTECT\00000003.INI
File C:\Recycled\NPROTECT\00000004.INI
File C:\Recycled\NPROTECT\00000007.edb
File C:\Recycled\NPROTECT\00000024.JOB
File C:\Recycled\NPROTECT\00000025.niu
File C:\Recycled\NPROTECT\00000026.edb
File C:\Recycled\NPROTECT\00000029
File C:\Recycled\NPROTECT\00000030
File C:\Recycled\NPROTECT\00000043
File C:\Recycled\NPROTECT\00000044
File C:\Recycled\NPROTECT\00000048.PF
File C:\Recycled\NPROTECT\00000049.INI
File C:\Recycled\NPROTECT\00000053.INI
File C:\Recycled\NPROTECT\00000054.INI
File C:\Recycled\NPROTECT\00000055.INI
File C:\Recycled\NPROTECT\00000062.edb
File C:\Recycled\NPROTECT\00000069.JOB
File C:\Recycled\NPROTECT\00000076.edb
File C:\Recycled\NPROTECT\00000090.edb
File C:\Recycled\NPROTECT\00000095
File C:\Recycled\NPROTECT\00000096
File C:\Recycled\NPROTECT\00000103.niu
File C:\Recycled\NPROTECT\00000107.CAB
File C:\Recycled\NPROTECT\00000114.edb
File C:\Recycled\NPROTECT\00000117.ORI
File C:\Recycled\NPROTECT\00000118.TXT
File C:\Recycled\NPROTECT\00000121.sol
File C:\Recycled\NPROTECT\00000122.sol
File C:\Recycled\NPROTECT\00000123.sol
File C:\Recycled\NPROTECT\00000124.sol
File C:\Recycled\NPROTECT\00000125.sol
File C:\Recycled\NPROTECT\00000126.sol
File C:\Recycled\NPROTECT\00000127.sol
File C:\Recycled\NPROTECT\00000128.sol
File C:\Recycled\NPROTECT\00000129.sol
File C:\Recycled\NPROTECT\00000130.sol
File C:\Recycled\NPROTECT\00000131.sol
File C:\Recycled\NPROTECT\00000132.sol
File C:\Recycled\NPROTECT\00000133.sol
File C:\Recycled\NPROTECT\00000134.sol
File C:\Recycled\NPROTECT\00000135.sol
File C:\Recycled\NPROTECT\00000136.sol
File C:\Recycled\NPROTECT\00000137.sol
File C:\Recycled\NPROTECT\00000138.sol
File C:\Recycled\NPROTECT\00000139.sol
File C:\Recycled\NPROTECT\00000140.sol
File C:\Recycled\NPROTECT\00000141.sol
File C:\Recycled\NPROTECT\00000142.sol
File C:\Recycled\NPROTECT\00000143.sol
File C:\Recycled\NPROTECT\00000144.SOL
File C:\Recycled\NPROTECT\00000146.bat
File C:\Recycled\NPROTECT\00000148.txt
File C:\Recycled\NPROTECT\00000149.exe
File C:\Recycled\NPROTECT\00000212
File C:\Recycled\NPROTECT\00000151.bat
File C:\Recycled\NPROTECT\00000153.INI
File C:\Recycled\NPROTECT\00000156.INI
File C:\Recycled\NPROTECT\00000157.INI
File C:\Recycled\NPROTECT\00000158.INI
File C:\Recycled\NPROTECT\00000183.PF
File C:\Recycled\NPROTECT\00000184.PF
File C:\Recycled\NPROTECT\00000191.PF
File C:\Recycled\NPROTECT\00000203.JOB
File C:\Recycled\NPROTECT\00000204.edb
File C:\Recycled\NPROTECT\00000205.edb
File C:\Recycled\NPROTECT\00000206
File C:\Recycled\NPROTECT\00000207
File C:\Recycled\NPROTECT\00000277
File C:\Recycled\NPROTECT\00000214.txt
File C:\Recycled\NPROTECT\00000215.zip
File C:\Recycled\NPROTECT\00000216
File C:\Recycled\NPROTECT\00000218.INI
File C:\Recycled\NPROTECT\00000220.INI
File C:\Recycled\NPROTECT\00000221.INI
File C:\Recycled\NPROTECT\00000222.INI
File C:\Recycled\NPROTECT\00000225.edb
File C:\Recycled\NPROTECT\00000246.JOB
File C:\Recycled\NPROTECT\00000250.rbs
File C:\Recycled\NPROTECT\00000251.ipi
File C:\Recycled\NPROTECT\00000252.msi
File C:\Recycled\NPROTECT\00000261.edb
File C:\Recycled\NPROTECT\00000263.PF
File C:\Recycled\NPROTECT\00000265.THE
File C:\Recycled\NPROTECT\00000268
File C:\Recycled\NPROTECT\00000269
File C:\Recycled\NPROTECT\00000278
File C:\Recycled\NPROTECT\00000279
File C:\Recycled\NPROTECT\00000280
File C:\Recycled\NPROTECT\00000281
File C:\Recycled\NPROTECT\00000282
File C:\Recycled\NPROTECT\00000283.db
File C:\Recycled\NPROTECT\00000284.SYS
File C:\Recycled\NPROTECT\00000288.ndf
File C:\Recycled\NPROTECT\00000289.ndf
File C:\Recycled\NPROTECT\00000290.db
File C:\Recycled\NPROTECT\00000291
File C:\Recycled\NPROTECT\00000292
File C:\Recycled\NPROTECT\00000293
File C:\Recycled\NPROTECT\00000294
File C:\Recycled\NPROTECT\00000295
File C:\Recycled\NPROTECT\00000296
File C:\Recycled\NPROTECT\00000298.SBU
File C:\Recycled\NPROTECT\00000299.db
File C:\Recycled\NPROTECT\00000300.DSC
File C:\Recycled\NPROTECT\00000301.db
File C:\Recycled\NPROTECT\00000302.SBU
File C:\Recycled\NPROTECT\00000308.ini
File C:\Recycled\NPROTECT\00000309.ini
File C:\Recycled\NPROTECT\00000310.SOL
File C:\Recycled\NPROTECT\00000311.SOL
File C:\Recycled\NPROTECT\00000312.sol
File C:\Recycled\NPROTECT\00000313.sol
File C:\Recycled\NPROTECT\00000314.sol
File C:\Recycled\NPROTECT\00000318.log
File C:\Recycled\NPROTECT\00000322.log
File C:\Recycled\NPROTECT\00000326.LOG
File C:\Recycled\NPROTECT\00000330.log
File C:\Recycled\NPROTECT\00000331
File C:\Recycled\NPROTECT\00000333.GID
File C:\Recycled\NPROTECT\00000334.GID
File C:\Recycled\NPROTECT\00000335.~TH
File C:\Recycled\NPROTECT\00000336.~AN
File C:\Recycled\NPROTECT\00000337.WAB
File C:\Recycled\NPROTECT\00000338.GID
File C:\Recycled\NPROTECT\00000339.GID
File C:\Recycled\NPROTECT\00000340.GID
File C:\Recycled\NPROTECT\00000341.GID
File C:\Recycled\NPROTECT\00000342.PRV
File C:\Recycled\NPROTECT\00000343.SYD
File C:\Recycled\NPROTECT\00000344.SYD
File C:\Recycled\NPROTECT\00000345.DB
File C:\Recycled\NPROTECT\00000346.DB
File C:\Recycled\NPROTECT\00000347.DB
File C:\Recycled\NPROTECT\00000348.DB
File C:\Recycled\NPROTECT\00000349.DB
File C:\Recycled\NPROTECT\00000350.DB
File C:\Recycled\NPROTECT\00000351.DB
File C:\Recycled\NPROTECT\00000352.DB
File C:\Recycled\NPROTECT\00000353.DB
File C:\Recycled\NPROTECT\00000354.DB
File C:\Recycled\NPROTECT\00000355.DB
File C:\Recycled\NPROTECT\00000356.DB
File C:\Recycled\NPROTECT\00000357.DB
File C:\Recycled\NPROTECT\00000358.DB
File C:\Recycled\NPROTECT\00000359.DB
File C:\Recycled\NPROTECT\00000360.DB
File C:\Recycled\NPROTECT\00000361.DB
File C:\Recycled\NPROTECT\00000362.DB
File C:\Recycled\NPROTECT\00000363.DB
File C:\Recycled\NPROTECT\00000364.DB
File C:\Recycled\NPROTECT\00000365.DB
File C:\Recycled\NPROTECT\00000366.DB
File C:\Recycled\NPROTECT\00000367.DB
File C:\Recycled\NPROTECT\00000368.DB
File C:\Recycled\NPROTECT\00000369.DB
File C:\Recycled\NPROTECT\00000370.DB
File C:\Recycled\NPROTECT\00000371.DB
File C:\Recycled\NPROTECT\00000372.DB
File C:\Recycled\NPROTECT\00000373.DB
File C:\Recycled\NPROTECT\00000374.DB
File C:\Recycled\NPROTECT\00000375.DB
File C:\Recycled\NPROTECT\00000376.DB
File C:\Recycled\NPROTECT\00000377.DB
File C:\Recycled\NPROTECT\00000378.DB
File C:\Recycled\NPROTECT\00000379.DB
File C:\Recycled\NPROTECT\00000380.DB
File C:\Recycled\NPROTECT\00000381.DB
File C:\Recycled\NPROTECT\00000382.DB
File C:\Recycled\NPROTECT\00000383.DB
File C:\Recycled\NPROTECT\00000384.DB
File C:\Recycled\NPROTECT\00000385.DB
File C:\Recycled\NPROTECT\00000386.DB
File C:\Recycled\NPROTECT\00000387.DB
File C:\Recycled\NPROTECT\00000388.DB
File C:\Recycled\NPROTECT\00000389.DB
File C:\Recycled\NPROTECT\00000390.DB
File C:\Recycled\NPROTECT\00000391.DB
File C:\Recycled\NPROTECT\00000392.DB
File C:\Recycled\NPROTECT\00000393.DB
File C:\Recycled\NPROTECT\00000394.DB
File C:\Recycled\NPROTECT\00000395.DB
File C:\Recycled\NPROTECT\00000396.DB
File C:\Recycled\NPROTECT\00000397.DB
File C:\Recycled\NPROTECT\00000398.DB
File C:\Recycled\NPROTECT\00000399.DB
File C:\Recycled\NPROTECT\00000400.DB
File C:\Recycled\NPROTECT\00000401.DB
File C:\Recycled\NPROTECT\00000402.DB
File C:\Recycled\NPROTECT\00000403.DB
File C:\Recycled\NPROTECT\00000404.DB
File C:\Recycled\NPROTECT\00000405.DB
File C:\Recycled\NPROTECT\00000406.DB
File C:\Recycled\NPROTECT\00000407.DB
File C:\Recycled\NPROTECT\00000408.DB
File C:\Recycled\NPROTECT\00000409.DB
File C:\Recycled\NPROTECT\00000410.DB
File C:\Recycled\NPROTECT\00000411.DB
File C:\Recycled\NPROTECT\00000412.DB
File C:\Recycled\NPROTECT\00000413.DB
File C:\Recycled\NPROTECT\00000414.DB
File C:\Recycled\NPROTECT\00000415.DB
File C:\Recycled\NPROTECT\00000416.DB
File C:\Recycled\NPROTECT\00000417.DB
File C:\Recycled\NPROTECT\00000418.DB
File C:\Recycled\NPROTECT\00000419.DB
File C:\Recycled\NPROTECT\00000420.DB
File C:\Recycled\NPROTECT\00000421.DB
File C:\Recycled\NPROTECT\00000422.DB
File C:\Recycled\NPROTECT\00000423.DB
File C:\Recycled\NPROTECT\00000424.DB
File C:\Recycled\NPROTECT\00000425.DB
File C:\Recycled\NPROTECT\00000426.DB
File C:\Recycled\NPROTECT\00000427.DB
File C:\Recycled\NPROTECT\00000428.DB
File C:\Recycled\NPROTECT\00000429.DB
File C:\Recycled\NPROTECT\00000430.DB
File C:\Recycled\NPROTECT\00000431.DB
File C:\Recycled\NPROTECT\00000432.DB
File C:\Recycled\NPROTECT\00000433.DB
File C:\Recycled\NPROTECT\00000434.DB
File C:\Recycled\NPROTECT\00000435.DB
File C:\Recycled\NPROTECT\00000436.DB
File C:\Recycled\NPROTECT\00000437.DB
File C:\Recycled\NPROTECT\00000438.DB
File C:\Recycled\NPROTECT\00000439.DB
File C:\Recycled\NPROTECT\00000440.DB
File C:\Recycled\NPROTECT\00000441.DB
File C:\Recycled\NPROTECT\00000442.DB
File C:\Recycled\NPROTECT\00000443.DB
File C:\Recycled\NPROTECT\00000444.DB
File C:\Recycled\NPROTECT\00000445.chk
File C:\Recycled\NPROTECT\00000446.chk
File C:\Recycled\NPROTECT\00000447.chk
File C:\Recycled\NPROTECT\00000448.chk
File C:\Recycled\NPROTECT\00000449.chk
File C:\Recycled\NPROTECT\00000450.dmp
File C:\Recycled\NPROTECT\00000451.dmp
File C:\Recycled\NPROTECT\00000452.chk
File C:\Recycled\NPROTECT\00000453.chk
File C:\Recycled\NPROTECT\00000454.WBK
File C:\Recycled\NPROTECT\00000455.STA
File C:\Recycled\NPROTECT\00000456.STA
File C:\Recycled\NPROTECT\00000457.PSM
File C:\Recycled\NPROTECT\00000458.exe
File C:\Recycled\NPROTECT\00000459.dll
File C:\Recycled\NPROTECT\00000460.dll
File C:\Recycled\NPROTECT\00000461.dll
File C:\Recycled\NPROTECT\00000462.INF
File C:\Recycled\NPROTECT\00000463.INF
File C:\Recycled\NPROTECT\00000464.INF
File C:\Recycled\NPROTECT\00000465.INF
File C:\Recycled\NPROTECT\00000466.inf
File C:\Recycled\NPROTECT\00000467.inf
File C:\Recycled\NPROTECT\00000468.url
File C:\Recycled\NPROTECT\00000469.cat
File C:\Recycled\NPROTECT\00000470.cat
File C:\Recycled\NPROTECT\00000471.txt
File C:\Recycled\NPROTECT\00000472.ver
File C:\Recycled\NPROTECT\00000473.exe
File C:\Recycled\NPROTECT\00000474.dll
File C:\Recycled\NPROTECT\00000475.STA
File C:\Recycled\NPROTECT\00000476.rq0
File C:\Recycled\NPROTECT\00000477.sys
File C:\Recycled\NPROTECT\00000478.sys
File C:\Recycled\NPROTECT\00000479.STA
File C:\Recycled\NPROTECT\00000480.STA
File C:\Recycled\NPROTECT\00000481.PSM
File C:\Recycled\NPROTECT\00000482.INF
File C:\Recycled\NPROTECT\00000483.INF
File C:\Recycled\NPROTECT\00000484.INF
File C:\Recycled\NPROTECT\00000485.INF
File C:\Recycled\NPROTECT\00000486.inf
File C:\Recycled\NPROTECT\00000487.exe
File C:\Recycled\NPROTECT\00000488.inf
File C:\Recycled\NPROTECT\00000489.url
File C:\Recycled\NPROTECT\00000490.dll
File C:\Recycled\NPROTECT\00000491.dll
File C:\Recycled\NPROTECT\00000492.cat
File C:\Recycled\NPROTECT\00000493.txt
File C:\Recycled\NPROTECT\00000494.ver
File C:\Recycled\NPROTECT\00000495.exe
File C:\Recycled\NPROTECT\00000496.dll
File C:\Recycled\NPROTECT\00000497.STA
File C:\Recycled\NPROTECT\00000498.rq0
File C:\Recycled\NPROTECT\00000499.dll
File C:\Recycled\NPROTECT\00000500.dll
File C:\Recycled\NPROTECT\00000501.STA
File C:\Recycled\NPROTECT\00000502.STA
File C:\Recycled\NPROTECT\00000503.PSM
File C:\Recycled\NPROTECT\00000504.exe
File C:\Recycled\NPROTECT\00000505.INF
File C:\Recycled\NPROTECT\00000506.INF
File C:\Recycled\NPROTECT\00000507.INF
File C:\Recycled\NPROTECT\00000508.INF
File C:\Recycled\NPROTECT\00000509.inf
File C:\Recycled\NPROTECT\00000510.inf
File C:\Recycled\NPROTECT\00000511.url
File C:\Recycled\NPROTECT\00000512.dll
File C:\Recycled\NPROTECT\00000513.dll
File C:\Recycled\NPROTECT\00000514.cat
File C:\Recycled\NPROTECT\00000515.txt
File C:\Recycled\NPROTECT\00000516.ver
File C:\Recycled\NPROTECT\00000517.exe
File C:\Recycled\NPROTECT\00000518.dll
File C:\Recycled\NPROTECT\00000519.STA
File C:\Recycled\NPROTECT\00000520.rq0
File C:\Recycled\NPROTECT\00000521.dll
File C:\Recycled\NPROTECT\00000522.dll
File C:\Recycled\NPROTECT\00000528.INI
File C:\Recycled\NPROTECT\00000530.INI
File C:\Recycled\NPROTECT\00000532.INI
File C:\Recycled\NPROTECT\00000533.INI
File C:\Recycled\NPROTECT\00000534.THE
File C:\Recycled\NPROTECT\00000548.JOB
File C:\Recycled\NPROTECT\00000549.PF
File C:\Recycled\NPROTECT\00000551.THE
File C:\Recycled\NPROTECT\00000552.dat
File C:\Recycled\NPROTECT\00000553.BMP
File C:\Recycled\NPROTECT\00000555.niu
File C:\Recycled\NPROTECT\00000556.edb
File C:\Recycled\NPROTECT\00000558
File C:\Recycled\NPROTECT\00000559
File C:\Recycled\NPROTECT\00000563.INI
File C:\Recycled\NPROTECT\00000565.INI
File C:\Recycled\NPROTECT\00000567.INI
File C:\Recycled\NPROTECT\00000568.INI
File C:\Recycled\NPROTECT\00000585.JOB
File C:\Recycled\NPROTECT\00000586.edb
File C:\Recycled\NPROTECT\00000587.niu
File C:\Recycled\NPROTECT\00000589.INI
File C:\Recycled\NPROTECT\00000591.INI
File C:\Recycled\NPROTECT\00000593.INI
File C:\Recycled\NPROTECT\00000594.INI
File C:\Recycled\NPROTECT\00000611.JOB
File C:\Recycled\NPROTECT\00000612.383
File C:\Recycled\NPROTECT\00000613.400
File C:\Recycled\NPROTECT\00000614.400
File C:\Recycled\NPROTECT\00000615.487
File C:\Recycled\NPROTECT\00000616.487
File C:\Recycled\NPROTECT\00000617.141
File C:\Recycled\NPROTECT\00000618.141
File C:\Recycled\NPROTECT\00000619.161
File C:\Recycled\NPROTECT\00000620.161
File C:\Recycled\NPROTECT\00000621.964
File C:\Recycled\NPROTECT\00000622.964
File C:\Recycled\NPROTECT\00000623.218
File C:\Recycled\NPROTECT\00000624.218
File C:\Recycled\NPROTECT\00000625.734
File C:\Recycled\NPROTECT\00000626.734
File C:\Recycled\NPROTECT\00000627.801
File C:\Recycled\NPROTECT\00000628.801
File C:\Recycled\NPROTECT\00000629.edb
File C:\Recycled\NPROTECT\00000630.ini
File C:\Recycled\NPROTECT\00000631.ini
File C:\Recycled\NPROTECT\00000632.txt
File C:\Recycled\NPROTECT\00000633.DAT
File C:\Recycled\NPROTECT\00000637.log
File C:\Recycled\NPROTECT\00000641.log
File C:\Recycled\NPROTECT\00000645.LOG
File C:\Recycled\NPROTECT\00000649.log
File C:\Recycled\NPROTECT\00000653.INI
File C:\Recycled\NPROTECT\00000655.INI
File C:\Recycled\NPROTECT\00000657.INI
File C:\Recycled\NPROTECT\00000658.INI
File C:\Recycled\NPROTECT\00000676.JOB
File C:\Recycled\NPROTECT\00000677.niu
File C:\Recycled\NPROTECT\00000679.edb
File C:\Recycled\NPROTECT\00000681.ini
File C:\Recycled\NPROTECT\00000682.ini
File C:\Recycled\NPROTECT\00000689
File C:\Recycled\NPROTECT\00000690
File C:\Recycled\NPROTECT\00000760.niu
File C:\Recycled\NPROTECT\00000696.INI
File C:\Recycled\NPROTECT\00000698.INI
File C:\Recycled\NPROTECT\00000700.INI
File C:\Recycled\NPROTECT\00000701.INI
File C:\Recycled\NPROTECT\00000719.JPG
File C:\Recycled\NPROTECT\00000720.JOB
File C:\Recycled\NPROTECT\00000721.edb
File C:\Recycled\NPROTECT\00000766.sys
File C:\Recycled\NPROTECT\00000726.INI
File C:\Recycled\NPROTECT\00000728.INI
File C:\Recycled\NPROTECT\00000730.INI
File C:\Recycled\NPROTECT\00000731.INI
File C:\Recycled\NPROTECT\00000749.JOB
File C:\Recycled\NPROTECT\00000750.edb
File C:\Recycled\NPROTECT\00000751.edb
File C:\Recycled\NPROTECT\00000753.THE
File C:\Recycled\NPROTECT\00000754
File C:\Recycled\NPROTECT\00000755
File C:\Recycled\NPROTECT\00000767.sys
File C:\Recycled\NPROTECT\00000768.PF
File C:\Recycled\NPROTECT\00000769.PF
File C:\Recycled\NPROTECT\00000770.PF
File C:\Recycled\NPROTECT\00000771.PF
File C:\Recycled\NPROTECT\00000772.PF
File C:\Recycled\NPROTECT\00000773.PF
File C:\Recycled\NPROTECT\00000774.PF
File C:\Recycled\NPROTECT\00000775.PF
File C:\Recycled\NPROTECT\00000776.PF
File C:\Recycled\NPROTECT\00000777.PF
File C:\Recycled\NPROTECT\00000778.PF
File C:\Recycled\NPROTECT\00000779.PF
File C:\Recycled\NPROTECT\00000780.PF
File C:\Recycled\NPROTECT\00000781.PF
File C:\Recycled\NPROTECT\00000782.PF
File C:\Recycled\NPROTECT\00000783.PF
File C:\Recycled\NPROTECT\00000784.PF
File C:\Recycled\NPROTECT\00000785.PF
File C:\Recycled\NPROTECT\00000786.PF
File C:\Recycled\NPROTECT\00000787.PF
File C:\Recycled\NPROTECT\00000788.PF
File C:\Recycled\NPROTECT\00000789.PF
File C:\Recycled\NPROTECT\00000790.PF
File C:\Recycled\NPROTECT\00000791.PF
File C:\Recycled\NPROTECT\00000792.PF
File C:\Recycled\NPROTECT\00000793.PF
File C:\Recycled\NPROTECT\00000794.PF
File C:\Recycled\NPROTECT\00000795.PF
File C:\Recycled\NPROTECT\00000796.PF
File C:\Recycled\NPROTECT\00000797.PF
File C:\Recycled\NPROTECT\00000798.PF
File C:\Recycled\NPROTECT\00000799.PF
File C:\Recycled\NPROTECT\00000800.PF
File C:\Recycled\NPROTECT\00000801.PF
File C:\Recycled\NPROTECT\00000802.PF
File C:\Recycled\NPROTECT\00000803.PF
File C:\Recycled\NPROTECT\00000804.PF
File C:\Recycled\NPROTECT\00000805.PF
File C:\Recycled\NPROTECT\00000806.PF
File C:\Recycled\NPROTECT\00000807.PF
File C:\Recycled\NPROTECT\00000808.PF
File C:\Recycled\NPROTECT\00000809.PF
File C:\Recycled\NPROTECT\00000810.PF
File C:\Recycled\NPROTECT\00000811.PF
File C:\Recycled\NPROTECT\00000812.PF
File C:\Recycled\NPROTECT\00000813.PF
File C:\Recycled\NPROTECT\00000814.PF
File C:\Recycled\NPROTECT\00000815.PF
File C:\Recycled\NPROTECT\00000816.PF
File C:\Recycled\NPROTECT\00000817.PF
File C:\Recycled\NPROTECT\00000818.PF
File C:\Recycled\NPROTECT\00000819.PF
File C:\Recycled\NPROTECT\00000820.PF
File C:\Recycled\NPROTECT\00000821.PF
File C:\Recycled\NPROTECT\00000822.PF
File C:\Recycled\NPROTECT\00000823.PF
File C:\Recycled\NPROTECT\00000824.PF
File C:\Recycled\NPROTECT\00000825.PF
File C:\Recycled\NPROTECT\00000826.PF
File C:\Recycled\NPROTECT\00000827.PF
File C:\Recycled\NPROTECT\00000828.PF
File C:\Recycled\NPROTECT\00000829.PF
File C:\Recycled\NPROTECT\00000830.PF
File C:\Recycled\NPROTECT\00000831.PF
File C:\Recycled\NPROTECT\00000832.PF
File C:\Recycled\NPROTECT\00000833.PF
File C:\Recycled\NPROTECT\00000834.PF
File C:\Recycled\NPROTECT\00000835.PF
File C:\Recycled\NPROTECT\00000836.PF
File C:\Recycled\NPROTECT\00000837.PF
File C:\Recycled\NPROTECT\00000838.PF
File C:\Recycled\NPROTECT\00000839.PF
File C:\Recycled\NPROTECT\00000840.PF
File C:\Recycled\NPROTECT\00000841.PF
File C:\Recycled\NPROTECT\00000842.PF
File C:\Recycled\NPROTECT\00000843.PF
File C:\Recycled\NPROTECT\00000844.PF
File C:\Recycled\NPROTECT\00000845.PF
File C:\Recycled\NPROTECT\00000846.PF
File C:\Recycled\NPROTECT\00000847.PF
File C:\Recycled\NPROTECT\00000848.PF
File C:\Recycled\NPROTECT\00000849.PF
File C:\Recycled\NPROTECT\00000850.PF
File C:\Recycled\NPROTECT\00000851.PF
File C:\Recycled\NPROTECT\00000852.PF
File C:\Recycled\NPROTECT\00000853.PF
File C:\Recycled\NPROTECT\00000854.PF
File C:\Recycled\NPROTECT\00000855.PF
File C:\Recycled\NPROTECT\00000856.PF
File C:\Recycled\NPROTECT\00000857.PF
File C:\Recycled\NPROTECT\00000858.PF
File C:\Recycled\NPROTECT\00000859.PF
File C:\Recycled\NPROTECT\00000860.PF
File C:\Recycled\NPROTECT\00000861.PF
File C:\Recycled\NPROTECT\00000862.PF
File C:\Recycled\NPROTECT\00000863.PF
File C:\Recycled\NPROTECT\00000865.niu
File C:\Recycled\NPROTECT\00000869.niu
File C:\Recycled\NPROTECT\00000876.niu
File C:\Recycled\NPROTECT\00000878.edb
File C:\Recycled\NPROTECT\00000881.ndf
File C:\Recycled\NPROTECT\00000882.ndf
File C:\Recycled\NPROTECT\00000883.ndf
File C:\Recycled\NPROTECT\00000884.THE
File C:\Recycled\NPROTECT\00000885.BMP
File C:\Recycled\NPROTECT\00000894.CAB
File C:\Recycled\NPROTECT\00000898.sol
File C:\Recycled\NPROTECT\00000899.sol
File C:\Recycled\NPROTECT\00000900.sol
File C:\Recycled\NPROTECT\00000901.sol
File C:\Recycled\NPROTECT\00000902.sol
File C:\Recycled\NPROTECT\00000903.sol
File C:\Recycled\NPROTECT\00000904.sol
File C:\Recycled\NPROTECT\00000905.sol
File C:\Recycled\NPROTECT\00000906.sol
File C:\Recycled\NPROTECT\00000907.sol
File C:\Recycled\NPROTECT\00000908.sol
File C:\Recycled\NPROTECT\00000909.sol
File C:\Recycled\NPROTECT\00000910.sol
File C:\Recycled\NPROTECT\00000911.sol
File C:\Recycled\NPROTECT\00000912.sol
File C:\Recycled\NPROTECT\00000913.sol
File C:\Recycled\NPROTECT\00000917.edb
File C:\Recycled\NPROTECT\00000920.niu
File C:\Recycled\NPROTECT\00000922.NSA
File C:\Recycled\NPROTECT\00000923.NSA
File C:\Recycled\NPROTECT\00000943.chm
File C:\Recycled\NPROTECT\00000944.txt
File C:\Recycled\NPROTECT\00000945.rtf
File C:\Recycled\NPROTECT\00000946.ref
File C:\Recycled\NPROTECT\00000947.lng
File C:\Recycled\NPROTECT\00000948.LNG
File C:\Recycled\NPROTECT\00000949.lng
File C:\Recycled\NPROTECT\00000950.LNG
File C:\Recycled\NPROTECT\00000951.LNG
File C:\Recycled\NPROTECT\00000952.lng
File C:\Recycled\NPROTECT\00000953.lng
File C:\Recycled\NPROTECT\00000954.lng
File C:\Recycled\NPROTECT\00000955.lng
File C:\Recycled\NPROTECT\00000956.lng
File C:\Recycled\NPROTECT\00000957.lng
File C:\Recycled\NPROTECT\00000958.lng
File C:\Recycled\NPROTECT\00000959.lng
File C:\Recycled\NPROTECT\00000960.lng
File C:\Recycled\NPROTECT\00000961.LNG
File C:\Recycled\NPROTECT\00000962.lng
File C:\Recycled\NPROTECT\00000963.lng
File C:\Recycled\NPROTECT\00000964.LNG
File C:\Recycled\NPROTECT\00000965.LNG
File C:\Recycled\NPROTECT\00000966.lng
File C:\Recycled\NPROTECT\00000967.LNG
File C:\Recycled\NPROTECT\00000968.LNG
File C:\Recycled\NPROTECT\00000969.lng
File C:\Recycled\NPROTECT\00000970.lng
File C:\Recycled\NPROTECT\00000971.lng
File C:\Recycled\NPROTECT\00000972.lng
File C:\Recycled\NPROTECT\00000973.LNG
File C:\Recycled\NPROTECT\00000974.lng
File C:\Recycled\NPROTECT\00000975.lng
File C:\Recycled\NPROTECT\00000976.lng
File C:\Recycled\NPROTECT\00000977.LNG
File C:\Recycled\NPROTECT\00000979.exe
File C:\Recycled\NPROTECT\00000980.SYS
File C:\Recycled\NPROTECT\00000981.dll
File C:\Recycled\NPROTECT\00000982.exe
File C:\Recycled\NPROTECT\00000984.EXE
File C:\Recycled\NPROTECT\00000985.sys
File C:\Recycled\NPROTECT\00000986.LNK
File C:\Recycled\NPROTECT\00000987.LNK
File C:\Recycled\NPROTECT\00000988.LNK
File C:\Recycled\NPROTECT\00000990.exe
File C:\Recycled\NPROTECT\00001003.edb
File C:\Recycled\NPROTECT\00001007.TXT
File C:\Recycled\NPROTECT\00001008.TXT
---- EOF - GMER 1.0.15 ----
Geändert von help me (07.04.2009 um 04:29 Uhr) Grund: Der Beschreibungstext über dem Log war weg. |
|
07.04.2009, 04:40
| #6 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Nachdem mittlerweile meine exe-Dateiendung bei MBAM wieder funktioniert und meine Windowssuche auch, habe ich geschaut, wo die beiden Dateien RTHDCPL.exe und dann ALCMTR.exe liegen. Und mich beunruhigt etwas, dass die Dateien drei mal vorhanden sind, im Programmordner von Realtek selbst, dann unter den Systemdateien in c:\windows\system32\reinstallbackups\0011\DriverFiles) und unter c:\windows\. Mhm. Daraufhin hab ich die RTHDCPL.exe mal bei Virus Total hochgeladen. Code:
ATTFilter Datei RTHDCPL.exe empfangen 2009.01.12 16:45:49 (CET)
Status: Beendet
Ergebnis: 0/37 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.12 -
AhnLab-V3 2009.1.10.0 2009.01.12 -
AntiVir 7.9.0.54 2009.01.12 -
Authentium 5.1.0.4 2009.01.12 -
Avast 4.8.1281.0 2009.01.12 -
AVG 8.0.0.229 2009.01.12 -
BitDefender 7.2 2009.01.12 -
CAT-QuickHeal 10.00 2009.01.12 -
ClamAV 0.94.1 2009.01.12 -
Comodo 919 2009.01.12 -
DrWeb 4.44.0.09170 2009.01.12 -
eSafe 7.0.17.0 2009.01.12 -
eTrust-Vet 31.6.6304 2009.01.12 -
F-Prot 4.4.4.56 2009.01.12 -
F-Secure 8.0.14470.0 2009.01.12 -
Fortinet 3.117.0.0 2009.01.11 -
GData 19 2009.01.12 -
Ikarus T3.1.1.45.0 2009.01.12 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.12 -
McAfee 5492 2009.01.11 -
McAfee+Artemis 5492 2009.01.11 -
Microsoft 1.4205 2009.01.12 -
NOD32 3759 2009.01.12 -
Norman 5.93.01 2009.01.12 -
Panda 9.4.3.3 2009.01.11 -
PCTools 4.4.2.0 2009.01.12 -
Prevx1 V2 2009.01.12 -
Rising 21.12.02.00 2009.01.12 -
SecureWeb-Gateway 6.7.6 2009.01.12 -
Sophos 4.37.0 2009.01.12 -
Sunbelt 3.2.1831.2 2009.01.09 -
TheHacker 6.3.1.4.218 2009.01.11 -
TrendMicro 8.700.0.1004 2009.01.12 -
VBA32 3.12.8.10 2009.01.12 -
ViRobot 2009.1.12.1554 2009.01.12 -
VirusBuster 4.5.11.0 2009.01.12 -
weitere Informationen
File size: 16859648 bytes
MD5...: 408ddea6399d173246a62b7bd9d776dd
SHA1..: 81b298535f2ebeb43c210227360faf085ef06404
SHA256: 021df0f78d9807b61347d60991eaccdee13ad1a44c3b0ae5ebc4824571e2c7ea
SHA512: 803566483e2a3031fa13d8d01a2958b8eb6ed968ba49374f89536f1e863c0ba9
53b8bdf4718b24124df27d353d4b27de9b3852a77dc0faf238941009c8c691f0
ssdeep: 98304:gzrJAOl2EgAR6jA5s/ZPAQAhFoQDme0BRBRBRBix4B0BRBRBRBix4QjnPB
RBRBRI:gz2ejRxQ9OVdedjCCSIpVw
PEiD..: -
TrID..: File type identification
Windows OCX File (48.2%)
InstallShield setup (16.8%)
Win32 EXE PECompact compressed (generic) (16.2%)
Win32 Executable Delphi generic (5.7%)
DOS Executable Borland C++ (5.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x401a28
timedatestamp.....: 0x479eda24 (Tue Jan 29 07:47:48 2008)
machinetype.......: 0x14c (I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x230000 0x22fa00 6.46 85ed80128d05ab0481a6611efb1748f4
.data 0x231000 0x111000 0x3ae00 5.21 d2fc623cf2b2b01d4a3f0f091668d7d3
.tls 0x342000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rdata 0x343000 0x1000 0x200 0.21 e4727f0aac154b56d68522b150b816d6
.idata 0x344000 0x4000 0x3800 5.09 4a68cbe229cb57a5ad6a6d40eb705458
.edata 0x348000 0x58000 0x57600 5.88 bce5e3fc91adcafeb11a5b23069cb392
.rsrc 0x3a0000 0xd28000 0xd27800 7.39 23180e871955a92e1e744b5122982e35
.reloc 0x10c8000 0x27000 0x26a00 6.63 c8526c7f06f157cbc1a1fa0b72a36787
( 16 imports )
> DSOUND.DLL: DirectSoundCreate, DirectSoundEnumerateA
> HHCTRL.OCX: -
> SETUPAPI.DLL: SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInfo, SetupDiEnumDeviceInterfaces, SetupDiGetClassDevsA, SetupDiGetDeviceInstanceIdA, SetupDiGetDeviceInterfaceDetailA, SetupDiGetDeviceRegistryPropertyA
> ADVAPI32.DLL: RegCloseKey, RegCreateKeyA, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegEnumValueA, RegFlushKey, RegOpenKeyA, RegOpenKeyExA, RegQueryInfoKeyA, RegQueryValueExA, RegSetValueExA
> KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateEventA, CreateFileA, CreateMutexA, CreateProcessA, CreateThread, DeleteCriticalSection, DeleteFileA, DeviceIoControl, EnterCriticalSection, EnumCalendarInfoA, ExitProcess, FileTimeToDosDateTime, FileTimeToLocalFileTime, FindClose, FindFirstFileA, FindNextFileA, FindResourceA, FormatMessageA, FreeLibrary, FreeResource, GetACP, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetCurrentProcessId, GetCurrentThread, GetCurrentThreadId, GetDateFormatA, GetDiskFreeSpaceA, GetEnvironmentStrings, GetExitCodeProcess, GetExitCodeThread, GetFileAttributesA, GetFileSize, GetFileType, GetFullPathNameA, GetLastError, GetLocalTime, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetOEMCP, GetPrivateProfileStringA, GetProcAddress, GetProcessHeap, GetProfileStringA, GetStartupInfoA, GetStdHandle, GetStringTypeExA, GetStringTypeW, GetSystemDefaultLCID, GetSystemDirectoryA, GetSystemInfo, GetSystemPowerStatus, GetSystemTime, GetTempFileNameA, GetTempPathA, GetThreadLocale, GetThreadPriority, GetTickCount, GetTimeZoneInformation, GetVersion, GetVersionExA, GetWindowsDirectoryA, GlobalAddAtomA, GlobalAlloc, GlobalDeleteAtom, GlobalFindAtomA, GlobalFree, GlobalHandle, GlobalLock, GlobalReAlloc, GlobalSize, GlobalUnlock, HeapAlloc, HeapFree, InitializeCriticalSection, InterlockedDecrement, InterlockedIncrement, LCMapStringA, LeaveCriticalSection, LoadLibraryA, LoadLibraryExA, LoadResource, LocalAlloc, LocalFree, LockResource, MulDiv, MultiByteToWideChar, OutputDebugStringA, QueryPerformanceCounter, QueryPerformanceFrequency, RaiseException, ReadFile, RemoveDirectoryA, ResetEvent, ResumeThread, RtlUnwind, SearchPathA, SetConsoleCtrlHandler, SetCurrentDirectoryA, SetEndOfFile, SetErrorMode, SetEvent, SetFilePointer, SetHandleCount, SetLastError, SetThreadLocale, SetThreadPriority, SizeofResource, Sleep, TerminateProcess, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualQuery, WaitForMultipleObjects, WaitForSingleObject, WideCharToMultiByte, WinExec, WriteFile, WritePrivateProfileStringA, lstrcatA, lstrcmpA, lstrcmpiA, lstrcpyA, lstrcpynA, lstrlenA
> MPR.DLL: WNetCloseEnum, WNetEnumResourceA, WNetGetUniversalNameA, WNetOpenEnumA
> VERSION.DLL: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, EnumPrintersA, OpenPrinterA
> COMCTL32.DLL: ImageList_Add, ImageList_BeginDrag, ImageList_Create, ImageList_Destroy, ImageList_DragEnter, ImageList_DragLeave, ImageList_DragMove, ImageList_DragShowNolock, ImageList_Draw, ImageList_DrawEx, ImageList_EndDrag, ImageList_GetBkColor, ImageList_GetDragImage, ImageList_GetIcon, ImageList_GetIconSize, ImageList_GetImageCount, ImageList_Read, ImageList_Remove, ImageList_Replace, ImageList_ReplaceIcon, ImageList_SetBkColor, ImageList_SetDragCursorImage, ImageList_SetIconSize, ImageList_Write, -
> COMDLG32.DLL: ChooseColorA
> GDI32.DLL: Arc, BitBlt, CombineRgn, CopyEnhMetaFileA, CreateBitmap, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDCA, CreateDIBSection, CreateDIBitmap, CreateEllipticRgn, CreateFontA, CreateFontIndirectA, CreateHalftonePalette, CreateICA, CreatePalette, CreatePenIndirect, CreatePolygonRgn, CreateRectRgn, CreateRoundRectRgn, CreateSolidBrush, DPtoLP, DeleteDC, DeleteEnhMetaFile, DeleteObject, Ellipse, EndDoc, EndPage, EnumFontFamiliesA, ExcludeClipRect, ExtCreateRegion, ExtTextOutA, FillRgn, FrameRgn, GdiFlush, GetBitmapBits, GetBrushOrgEx, GetClipBox, GetClipRgn, GetCurrentPositionEx, GetDCOrgEx, GetDIBColorTable, GetDIBits, GetDeviceCaps, GetEnhMetaFileBits, GetEnhMetaFileHeader, GetEnhMetaFilePaletteEntries, GetMapMode, GetObjectA, GetPaletteEntries, GetPixel, GetRegionData, GetRgnBox, GetStockObject, GetSystemPaletteEntries, GetTextAlign, GetTextExtentPoint32A, GetTextExtentPointA, GetTextMetricsA, GetViewportOrgEx, GetWinMetaFileBits, GetWindowOrgEx, IntersectClipRect, LineTo, MaskBlt, MoveToEx, OffsetRgn, PatBlt, Pie, PlayEnhMetaFile, Polygon, Polyline, PtInRegion, RealizePalette, RectVisible, Rectangle, RestoreDC, RoundRect, SaveDC, SelectClipRgn, SelectObject, SelectPalette, SetAbortProc, SetBkColor, SetBkMode, SetBrushOrgEx, SetDIBColorTable, SetDIBits, SetDIBitsToDevice, SetEnhMetaFileBits, SetMapMode, SetPixel, SetROP2, SetStretchBltMode, SetTextAlign, SetTextColor, SetViewportOrgEx, SetWinMetaFileBits, SetWindowOrgEx, StartDocA, StartPage, StretchBlt, StretchDIBits, TextOutA, UnrealizeObject
> SHELL32.DLL: SHFileOperationA, ShellExecuteA, ShellExecuteExA, Shell_NotifyIconA
> USER32.DLL: ActivateKeyboardLayout, AdjustWindowRectEx, AttachThreadInput, BeginPaint, BroadcastSystemMessageA, CallNextHookEx, CallWindowProcA, CharLowerA, CharLowerBuffA, CharNextA, CharUpperA, CharUpperBuffA, CheckMenuItem, ChildWindowFromPoint, ClientToScreen, CloseClipboard, CopyImage, CreateIcon, CreateMenu, CreatePopupMenu, CreateWindowExA, DefFrameProcA, DefMDIChildProcA, DefWindowProcA, DeleteMenu, DestroyCursor, DestroyIcon, DestroyMenu, DestroyWindow, DispatchMessageA, DrawEdge, DrawFocusRect, DrawFrameControl, DrawIcon, DrawIconEx, DrawMenuBar, DrawTextA, EmptyClipboard, EnableMenuItem, EnableScrollBar, EnableWindow, EndPaint, EnumClipboardFormats, EnumThreadWindows, EnumWindows, EqualRect, FillRect, FindWindowA, FrameRect, GetActiveWindow, GetCapture, GetCaretPos, GetClassInfoA, GetClassNameA, GetClientRect, GetClipboardData, GetCursor, GetCursorPos, GetDC, GetDCEx, GetDesktopWindow, GetFocus, GetForegroundWindow, GetIconInfo, GetKeyNameTextA, GetKeyState, GetKeyboardLayout, GetKeyboardLayoutList, GetKeyboardState, GetKeyboardType, GetLastActivePopup, GetMenu, GetMenuItemCount, GetMenuItemID, GetMenuItemInfoA, GetMenuState, GetMenuStringA, GetMessageA, GetMessagePos, GetParent, GetPropA, GetScrollInfo, GetScrollPos, GetScrollRange, GetSubMenu, GetSysColorBrush, GetSystemMenu, GetSystemMetrics, GetTabbedTextExtentA, GetTopWindow, GetUpdateRect, GetWindow, GetWindowDC, GetWindowLongA, GetWindowPlacement, GetWindowRect, GetWindowRgn, GetWindowTextA, GetWindowThreadProcessId, HideCaret, InflateRect, InsertMenuA, InsertMenuItemA, IntersectRect, InvalidateRect, IsCharAlphaA, IsCharAlphaNumericA, IsChild, IsClipboardFormatAvailable, IsDialogMessageA, IsIconic, IsRectEmpty, IsWindow, IsWindowEnabled, IsWindowVisible, IsZoomed, KillTimer, LoadBitmapA, LoadCursorA, LoadIconA, LoadKeyboardLayoutA, LoadStringA, MapVirtualKeyA, MapWindowPoints, MessageBeep, MessageBoxA, MsgWaitForMultipleObjects, NotifyWinEvent, OemToCharA, OffsetRect, OpenClipboard, PeekMessageA, PostMessageA, PostQuitMessage, PtInRect, RedrawWindow, RegisterClassA, RegisterClipboardFormatA, RegisterDeviceNotificationA, RegisterWindowMessageA, ReleaseCapture, ReleaseDC, RemoveMenu, RemovePropA, ScreenToClient, ScrollWindow, SendMessageA, SetActiveWindow, SetCapture, SetClassLongA, SetClipboardData, SetCursor, SetCursorPos, SetFocus, SetForegroundWindow, SetKeyboardState, SetMenu, SetMenuItemInfoA, SetPropA, SetRect, SetScrollInfo, SetScrollPos, SetScrollRange, SetTimer, SetWindowLongA, SetWindowPlacement, SetWindowPos, SetWindowRgn, SetWindowTextA, SetWindowsHookExA, ShowCursor, ShowOwnedPopups, ShowScrollBar, ShowWindow, SubtractRect, SystemParametersInfoA, TabbedTextOutA, TrackPopupMenu, TranslateMDISysAccel, TranslateMessage, UnhookWindowsHookEx, UnregisterClassA, UnregisterDeviceNotification, UpdateWindow, WaitMessage, WinHelpA, WindowFromPoint, wsprintfA, GetSysColor
> WINMM.DLL: mixerClose, mixerGetControlDetailsA, mixerGetDevCapsA, mixerGetID, mixerGetLineControlsA, mixerGetLineInfoA, mixerGetNumDevs, mixerOpen, mixerSetControlDetails, mmioAdvance, mmioAscend, mmioClose, mmioCreateChunk, mmioDescend, mmioGetInfo, mmioOpenA, mmioRead, mmioSeek, mmioSetInfo, mmioWrite, sndPlaySoundA, timeBeginPeriod, timeEndPeriod, timeGetTime, waveInGetDevCapsA, waveInGetNumDevs, waveInMessage, waveOutGetDevCapsA, waveOutGetNumDevs, waveOutMessage
> OLE32.DLL: CoCreateInstance, CoInitialize, CoTaskMemFree, CoUninitialize, StringFromCLSID
> OLEAUT32.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
( 6125 exports )
[...]
|
|
07.04.2009, 04:52
| #7 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Dann habe ich noch Advanced SystemCare ausgeführt und vorher, wie empfohlen, einen Systemwiederherstellungspunkt erstellt, nachdem ich vorher die Systemwiederherstellung deaktiviert hatte, um alle alten Systemwiederherstellungspunkte zu löschen. Und jetzt weiss ich nicht, was ich noch machen soll. Was mich noch irritiert: Das Desktophintergrundbild war auf einmal weg, aber da hatte ich gerade den Bildschirmschoner der Norman Security Suite ausgestellt, um die Scan-Programme nicht zu unterbrechen. Aber seitdem ich das Bild wieder eingestellt habe (zumindest kommt es mir so vor, dass so ein Zusammenhang bestehen könnte), wird zum einen die Beschriftung der Desktopsymbole nicht mehr farblich mit einem rechteckigen Rand unterlegt, sondern stattdessen haben die Buchstaben einen deutlichen schwarzen Schatten. Und, was ich fast noch merkwürdiger finde: Einige Programme, darunter mein Notepad, sehen auf einmal verändert aus. Die Auswahlmöglichkeiten >Datei< >Bearbeiten< >Format< >Ansicht< und >?< sind auf einmal mit einem weißen Rechteck hinterlegt, was auffällt, da der Rest ja hellgrau ist. Ich wäre Euch wirklich sehr dankbar, wenn Ihr meine Logfiles kommentieren könnten und mir Hinweise geben könntet, was ich noch alles versuchen könnte, um wieder alles sauber zu haben. Danke! |
|
07.04.2009, 15:05
| #8 |
  | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Hi, das sieht ja alles recht chaotisch aus, nicht einfach wild aus allen möglichen Threads irgendwelche Scripts/Lösungen ausprobieren... das richtet mehr Schaden an als das es nützt...Grrr Es wurden Sachen auf Laufwerk E gefunden, daher alles was seid der Infektion an den Rechner angeschlossen war (USB-Geräte mit Speicher, z.B. Festplatten, MP3-Player, Kameras, Sticks, ...) mit gedrückter Shift-Taste wieder anschließen. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Dr. Web und Rsit: Dannach im abgesicherten Modus noch Drweb CureIT reinigen lassen: http://freedrweb.com/?lng=de Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten! RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
07.04.2009, 19:54
| #9 | ||||
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Hi Chris, erst einmal vielen Dank, dass Du mir hilfst! Zitat:
 Ich weiss auch nicht, ob es an meiner vielleicht nicht immer sortierten Erklärung liegt. Aber nachdem der einfache Weg (einfach mit Shift+Entf löschen und mit autoruneater sowie mbam bereits vollständig Erfolg haben) doch nicht ging, habe ich mich im wesentlichen an den einen Thread gehalten, den ich oben angegeben habe, bilde ich mir ein. Ich dachte mir, dass mir ohnehin vorgeschlagen wird, ausser hjt auch den ccleaner, mbam und den avenger zu starten, so dass ich das schon mal machen wollte. :/Zitat:
Zitat:
Zitat:
Noch einmal Danke für Deine Hilfe! me. |
|
07.04.2009, 20:03
| #10 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Hi, den Schritt mit der Wiederherstellungskonsole kannst Du überspringen... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
08.04.2009, 14:12
| #11 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 So, weiter gehts. Combofix Code:
ATTFilter ComboFix 09-04-04.01 - *** 2009-04-07 21:12:32.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1014.549 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\gaopdxrxpssjgoyoulvviovmaqivuufymdcxen.dll
d:\recycler\S-8-0-42-100030408-100022070-100017761-1921.com
e:\recycler\S-8-0-42-100030408-100022070-100017761-1921.com
f:\recycler\S-8-0-42-100030408-100022070-100017761-1921.com
.
((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 ))))))))))))))))))))))))))))))
.
2009-04-06 21:50 . 2009-04-06 21:50 6,144 --ahs---- c:\windows\Thumbs.db
2009-04-05 17:09 . 2009-04-05 17:09 <DIR> d-------- c:\programme\Advanced SystemCare 3
2009-04-05 17:09 . 2009-04-05 17:09 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\IObit
2009-04-05 16:01 . 2009-04-05 16:01 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-04-05 16:01 . 2009-04-05 16:01 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-05 16:01 . 2009-04-05 16:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-05 14:15 . 2009-04-05 14:15 <DIR> d--hs---- C:\FOUND.014
2009-04-05 09:00 . 2009-04-05 09:00 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-05 09:00 . 2009-04-06 15:32 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-05 09:00 . 2009-04-06 15:32 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-05 07:38 . 2009-04-05 07:38 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-04-05 01:06 . 2009-04-05 01:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-05 01:02 . 2009-04-05 01:02 <DIR> d-------- c:\programme\Autorun Eater
2009-04-03 02:33 . 2009-04-04 03:19 52 --a------ c:\windows\RTFContentCtrl.INI
2009-04-03 02:20 . 2009-04-03 02:20 <DIR> d-------- c:\programme\Chandler1.0.2
2009-04-03 02:20 . 2009-04-03 02:20 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Python-Eggs
2009-04-03 02:20 . 2009-04-03 02:21 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Open Source Applications Foundation
2009-04-03 02:07 . 2009-04-03 02:07 <DIR> d-------- c:\programme\EssentialPIM
2009-04-03 02:07 . 2009-04-03 02:07 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\EssentialPIM
2009-04-03 01:57 . 2009-04-03 01:57 <DIR> d-------- c:\programme\TaskCoach
2009-04-03 01:57 . 2009-04-03 01:57 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\TaskCoach
2009-04-03 01:48 . 2009-04-03 01:48 <DIR> d-------- c:\programme\Mozilla Sunbird
2009-04-03 01:48 . 2009-04-03 01:48 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Talkback
2009-04-03 01:37 . 2009-04-03 01:37 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\InstallShield Installation Information
2009-04-03 01:35 . 2009-04-03 01:35 <DIR> d-------- c:\programme\Evernote
2009-04-02 01:30 . 2009-04-02 01:30 <DIR> d-------- c:\programme\Rainlendar2
2009-03-29 15:55 . 2009-03-29 15:55 <DIR> d-------- c:\programme\PhonerLite
2009-03-26 20:47 . 2009-03-26 20:47 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\SparVoip
2009-03-26 20:46 . 2009-03-26 20:46 <DIR> d-------- c:\programme\SparVoip
2009-03-26 00:14 . 2009-03-26 00:14 <DIR> d-------- c:\programme\FontCreator
2009-03-26 00:14 . 2009-03-26 00:14 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\FontCreator
2009-03-25 23:54 . 1996-11-06 13:05 302,592 --a------ c:\windows\unin0407.exe
2009-03-25 23:36 . 2009-03-25 23:36 <DIR> d-------- c:\programme\EasyClean
2009-03-25 23:15 . 2009-03-25 23:15 <DIR> d-------- c:\programme\DateWizard
2009-03-25 23:15 . 2009-03-25 23:15 31 --a------ c:\windows\DateWiz.ini
2009-03-25 17:26 . 2009-03-25 17:26 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-03-25 17:25 . 2009-03-25 17:25 <DIR> dr------- c:\programme\Skype
2009-03-25 17:25 . 2009-03-25 17:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-20 13:16 . 2007-07-11 11:05 101,120 --a------ c:\windows\system32\drivers\ewusbmdm.sys
2009-03-20 13:16 . 2007-07-11 11:02 24,448 --a------ c:\windows\system32\drivers\ewdcsc.sys
2009-03-20 13:15 . 2009-03-20 13:15 <DIR> d-------- c:\programme\Mobile Connect
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-05 13:56 176 ----a-w c:\programme\tlrg.txt
2009-03-06 00:52 --------- d-----w c:\programme\ElcomSoft
2009-03-01 08:42 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\FileMaker
2009-02-27 12:19 --------- d-----w c:\programme\FormsForWebFiller3.0
2009-02-09 13:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 13:04 1,846,912 ------w c:\windows\system32\dllcache\win32k.sys
2009-01-16 19:01 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2008-12-05 07:51 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-05 07:51 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
2008-12-05 07:51 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-05 07:51 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-05 07:51 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-06-09 21:10 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060220080609\index.dat
2008-06-09 21:10 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060920080610\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2008-08-24 4067328]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]
"Advanced SystemCare 3"="c:\programme\Advanced SystemCare 3\AWC.exe" [2009-02-22 2272592]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2008-03-04 360448]
"TFncKy"="c:\programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe" [2007-12-18 475136]
"NDSTray.exe"="c:\programme\TOSHIBA\ConfigFree\NDSTray.exe" [2006-03-16 974848]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-17 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-17 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-17 131072]
"ACU"="c:\programme\Atheros\ACU.exe" [2008-01-26 450648]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]
"Norman ZANDA"="c:\programme\Norman\Npm\Bin\ZLH.EXE" [2009-02-11 187504]
"NPCTray"="c:\programme\Norman\npc\bin\npc_tray.exe" [2007-09-17 126008]
"TPSMain"="TPSMain.exe" [2007-10-15 c:\windows\system32\TPSMain.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 12:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
-ra------ 2007-03-01 10:37 2321600 c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WordPerfect Office 1215]
--a------ 2004-04-20 16:04 733184 c:\programme\WordPerfect Office 12\Programs\Registration.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 c:\windows\Alcmtr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2008-01-29 16:47 16859648 c:\windows\RTHDCPL.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"c:\\Programme\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Programme\\SparVoip\\SparVoip.exe"=
"c:\\Programme\\PhonerLite\\PhonerLite.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"****:TCP"= ****:TCP:@xpsp2res.dll,-22009
"****:TCP"= ****:TCP:sipgate.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944]
R2 Ndiskio;Ndiskio;c:\programme\Norman\Nse\Bin\Ndiskio.sys [2008-07-19 20448]
R2 NProtectService;Norton Unerase Protection;c:\programme\Norton Utilities\NPROTECT.EXE [2008-06-11 135168]
R2 NVOY;Norman Resource Provider;c:\programme\Norman\Npm\Bin\nvoy.exe [2008-07-19 126008]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [2008-06-06 5888]
R3 NPC;Norman Parental Control;c:\programme\Norman\Npc\Bin\npcsvc32.exe [2008-07-19 416880]
R3 nsesvc;Norman Scanner Engine Service;c:\programme\Norman\Nse\Bin\Nsesvc.exe [2009-01-28 183352]
R3 NUAA;Norman User Activity Agent;c:\programme\Norman\Npc\Bin\nuaa.exe [2008-07-19 117816]
R3 NvcMFlt;NvcMFlt;c:\windows\system32\drivers\nvcw32mf.sys [2008-07-19 19512]
R3 nvcoas;Norman Virus Control on-access component;c:\programme\Norman\nvc\bin\Nvcoas.exe [2009-02-19 195640]
R3 NVCScheduler;Norman Virus Control Scheduler;c:\programme\Norman\Npm\Bin\nvcsched.exe [2008-07-19 154680]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54 MBit/s USB 2.0 Netzwerkadapter;c:\windows\system32\drivers\RTL8187B.sys [2008-06-06 288000]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-06-06 57408]
S0 gotylcso;gotylcso;c:\windows\system32\drivers\xilnfz.sys --> c:\windows\system32\drivers\xilnfz.sys [?]
S0 pfpc;pfpc;c:\windows\system32\drivers\edfvpvh.sys --> c:\windows\system32\drivers\edfvpvh.sys [?]
S0 vvkaf;vvkaf;c:\windows\system32\drivers\sjdvt.sys --> c:\windows\system32\drivers\sjdvt.sys [?]
S0 yxrgkte;yxrgkte;c:\windows\system32\drivers\jsgac.sys --> c:\windows\system32\drivers\jsgac.sys [?]
S1 NGS;Norman General Security Driver;c:\programme\Norman\Ngs\Bin\ngs.sys [2009-02-28 22712]
S3 A_ALL1683;ALL1683;c:\windows\system32\drivers\ALL1683.sys [2002-10-24 14342]
S3 HppeIl;HppeIl;c:\windows\system32\HppeIl.sys [2008-06-07 7699]
S3 npcpLoad;netPCphone;c:\windows\system32\drivers\npcpLoad.Sys [2008-07-13 19528]
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\PLCNDIS5.SYS [2002-10-24 17018]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - mchInjDrv
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{655c3b00-154a-11de-b400-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{655c3b01-154a-11de-b400-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67554-1548-11de-b3ff-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67555-1548-11de-b3ff-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67556-1548-11de-b3ff-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67557-1548-11de-b3ff-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe
.
Inhalt des "geplante Tasks" Ordners
2009-04-07 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
LSP: c:\programme\Norman\npc\bin\nlf.dll
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\695c2xrb.default\
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 21:14:33
Windows 5.1.2600 Service Pack 3 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1028)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-04-07 21:15:55
ComboFix-quarantined-files.txt 2009-04-07 19:15:54
Vor Suchlauf: 1.764.548.608 Bytes frei
Nach Suchlauf: 1,723,342,848 Bytes frei
210 --- E O F --- 2009-03-26 19:52:25
|
|
08.04.2009, 14:20
| #12 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Dr. Web Teil 1 Code:
ATTFilter =============================================================================
Dr.Web Scanner für Windows v5.00.3 (5.00.3.03240)
© Igor Daniloff, 1992-2009. Alle Rechte vorbehalten.
Log erstellt am: 2009-04-07, 21:27:15 [***][***]
Kommandozeile: "D:\Tmp\RarSFX0\setup.exe" /lng:de-cureit.dwl /ini:setup_XP.ini
Betriebssystem: Windows XP Professional x86 (Build 2600), Service Pack 3
=============================================================================
Engine-Version: 5.00 (5.00.0.12182)
API-Version: 2.02
[Virendatenbank] D:\Tmp\RarSFX0\9f51aa1f - 948 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\fef26ac2 - 3254 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\6db86338 - 5241 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\a9461f8f - 7585 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\5315ad58 - 5310 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\48641057 - 5947 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\3ee4de79 - 6039 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\a445397c - 5309 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\dcb480a7 - 3511 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\3ab9c8fb - 2495 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\cabaea62 - 4565 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\9ee92eed - 4467 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b87cfa26 - 5196 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\2404fa96 - 2359 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\e3617afc - 1938 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\02c69d0d - 3335 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b7002b25 - 3185 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b7c05f78 - 1468 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\0bf9b63a - 280 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\1da9b457 - 567 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b2c5ba1a - 1194 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\3f075665 - 423328 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\02930797 - 286 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b8e536ce - 626 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\fa279c62 - 178 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\1a394acb - 925 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\ce3c91d2 - 840 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\56f685e8 - 3316 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\8e4c94e3 - 19303 Virensignaturen
Gesamtzahl der Virensignaturen: 522995
[Selbstüberprüfung] D:\Tmp\RarSFX0\setup.exe
Lizenzschlüsseldatei: D:\Tmp\RarSFX0\setup.key
Lizenzchlüsselnummer: 0010537607
Registriert für:: A User
Aktivierungsdatum des Lizenzschlüssels:: 2008-12-05
Ablaufdatum des Lizenzschlüssels:: 2009-06-07
Speichervorgang: System:4 - OK
Speichervorgang: \SystemRoot\System32\smss.exe:176 - OK
Speichervorgang: \??\C:\WINDOWS\system32\csrss.exe:232 - OK
Speichervorgang: \??\C:\WINDOWS\system32\winlogon.exe:256 - OK
Speichervorgang: C:\WINDOWS\system32\services.exe:300 - OK
Speichervorgang: C:\WINDOWS\system32\lsass.exe:312 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:460 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:520 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:584 - OK
Speichervorgang: C:\WINDOWS\Explorer.EXE:828 - OK
Speichervorgang: E:\download\launch.exe:996 - OK
Speichervorgang: D:\Tmp\RarSFX0\_start.exe:1048 - OK
Speichervorgang: D:\Tmp\RarSFX0\setup.exe:1064 - OK
[Speicherscannen] Keine Viren gefunden
Master Boot Record HDD1 - OK
Active Boot Sector HDD1 - OK
[Scanpfad] c:\dokumente und einstellungen\administrator\startmenü\programme\autostart\desktop.ini
c:\dokumente und einstellungen\administrator\startmenü\programme\autostart\desktop.ini - OK
[Scanpfad] c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini
c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini - OK
[Scanpfad] c:\dokumente und einstellungen\default user\startmenü\programme\autostart\desktop.ini
c:\dokumente und einstellungen\default user\startmenü\programme\autostart\desktop.ini - OK
[Scanpfad] c:\dokumente und einstellungen\***\startmenü\programme\autostart\desktop.ini
c:\dokumente und einstellungen\***\startmenü\programme\autostart\desktop.ini - OK
[Scanpfad] c:\programme\advanced systemcare 3\awc.exe
c:\programme\advanced systemcare 3\awc.exe gepackt von ZLIB
>c:\programme\advanced systemcare 3\awc.exe - Archiv BINARYRES
>>c:\programme\advanced systemcare 3\awc.exe/data001 - OK
>>c:\programme\advanced systemcare 3\awc.exe/data002 - OK
>c:\programme\advanced systemcare 3\awc.exe - OK
[Scanpfad] c:\programme\atheros\acu.exe
c:\programme\atheros\acu.exe - OK
[Scanpfad] c:\programme\clickie\clickie.dll
c:\programme\clickie\clickie.dll - OK
[Scanpfad] c:\programme\fontcreator\fontcreatorext.dll
c:\programme\fontcreator\fontcreatorext.dll gepackt von PESTUB
>c:\programme\fontcreator\fontcreatorext.dll gepackt von ZLIB
>>c:\programme\fontcreator\fontcreatorext.dll - Archiv BINARYRES
>>>c:\programme\fontcreator\fontcreatorext.dll/data001 - OK
>>c:\programme\fontcreator\fontcreatorext.dll - OK
[Scanpfad] c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe
c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe - OK
[Scanpfad] c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelper.dll
c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelper.dll - OK
[Scanpfad] c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.deu
c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.deu - OK
[Scanpfad] c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll
c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll - OK
[Scanpfad] c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma.cpl
c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma.cpl - OK
[Scanpfad] c:\programme\gemeinsame dateien\microsoft shared\dw\dwtrig20.exe
c:\programme\gemeinsame dateien\microsoft shared\dw\dwtrig20.exe - OK
[Scanpfad] c:\programme\gemeinsame dateien\microsoft shared\speech\sapi.cpl
c:\programme\gemeinsame dateien\microsoft shared\speech\sapi.cpl - OK
[Scanpfad] c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll
c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll - OK
[Scanpfad] c:\programme\gemeinsame dateien\system\ole db\oledb32.dll
c:\programme\gemeinsame dateien\system\ole db\oledb32.dll - OK
[Scanpfad] c:\programme\lavasoft\ad-aware 2007\aawservice.exe
c:\programme\lavasoft\ad-aware 2007\aawservice.exe - OK
[Scanpfad] c:\programme\messenger\msmsgs.exe
c:\programme\messenger\msmsgs.exe - OK
[Scanpfad] c:\programme\microsoft office\office\olkfstub.dll
c:\programme\microsoft office\office\olkfstub.dll - OK
[Scanpfad] c:\programme\norman\ngs\bin\ngs.sys
c:\programme\norman\ngs\bin\ngs.sys - OK
[Scanpfad] c:\programme\norman\npc\bin\nlf.dll
c:\programme\norman\npc\bin\nlf.dll - OK
[Scanpfad] c:\programme\norman\npc\bin\npc_tray.exe
c:\programme\norman\npc\bin\npc_tray.exe - OK
[Scanpfad] c:\programme\norman\npc\bin\npcsvc32.exe
c:\programme\norman\npc\bin\npcsvc32.exe - OK
[Scanpfad] c:\programme\norman\npc\bin\nuaa.exe
c:\programme\norman\npc\bin\nuaa.exe - OK
[Scanpfad] c:\programme\norman\npm\bin\elogsvc.exe
c:\programme\norman\npm\bin\elogsvc.exe - OK
[Scanpfad] c:\programme\norman\npm\bin\njeeves.exe
c:\programme\norman\npm\bin\njeeves.exe - OK
[Scanpfad] c:\programme\norman\npm\bin\nvcsched.exe
c:\programme\norman\npm\bin\nvcsched.exe - OK
[Scanpfad] c:\programme\norman\npm\bin\nvoy.exe
c:\programme\norman\npm\bin\nvoy.exe - OK
[Scanpfad] c:\programme\norman\npm\bin\zanda.exe
c:\programme\norman\npm\bin\zanda.exe wahrscheinlich infiziert mit BACKDOOR.Trojan
[Scanpfad] c:\programme\norman\npm\bin\zlh.exe
c:\programme\norman\npm\bin\zlh.exe - OK
[Scanpfad] c:\programme\norman\nse\bin\ndiskio.sys
c:\programme\norman\nse\bin\ndiskio.sys - OK
[Scanpfad] c:\programme\norman\nse\bin\nsesvc.exe
c:\programme\norman\nse\bin\nsesvc.exe - OK
[Scanpfad] c:\programme\norman\nvc\bin\nvcoas.exe
c:\programme\norman\nvc\bin\nvcoas.exe - OK
[Scanpfad] c:\programme\norton utilities\nprotect.exe
c:\programme\norton utilities\nprotect.exe - OK
[Scanpfad] c:\programme\outlook express\setup50.exe
c:\programme\outlook express\setup50.exe - OK
[Scanpfad] c:\programme\outlook express\wabfind.dll
c:\programme\outlook express\wabfind.dll - OK
[Scanpfad] c:\programme\rainlendar2\rainlendar2.exe
c:\programme\rainlendar2\rainlendar2.exe - OK
[Scanpfad] c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll - OK
[Scanpfad] c:\programme\speed disk\nopdb.exe
c:\programme\speed disk\nopdb.exe - OK
[Scanpfad] c:\programme\superantispyware\sasdifsv.sys
c:\programme\superantispyware\sasdifsv.sys - OK
[Scanpfad] c:\programme\superantispyware\sasenum.sys
c:\programme\superantispyware\sasenum.sys - OK
[Scanpfad] c:\programme\superantispyware\saskutil.sys
c:\programme\superantispyware\saskutil.sys - OK
[Scanpfad] c:\programme\superantispyware\sasseh.dll
c:\programme\superantispyware\sasseh.dll - OK
[Scanpfad] c:\programme\superantispyware\saswinlo.dll
c:\programme\superantispyware\saswinlo.dll - OK
[Scanpfad] c:\programme\superantispyware\superantispyware.exe
c:\programme\superantispyware\superantispyware.exe - OK
[Scanpfad] c:\programme\symantec\symevent.sys
c:\programme\symantec\symevent.sys - OK
[Scanpfad] c:\programme\synaptics\syntp\syntpcpl.dll
c:\programme\synaptics\syntp\syntpcpl.dll - OK
[Scanpfad] c:\programme\synaptics\syntp\syntpenh.exe
c:\programme\synaptics\syntp\syntpenh.exe - OK
[Scanpfad] c:\programme\toshiba\configfree\cfsvcs.exe
c:\programme\toshiba\configfree\cfsvcs.exe - OK
[Scanpfad] c:\programme\toshiba\configfree\ndstray.exe
c:\programme\toshiba\configfree\ndstray.exe - OK
[Scanpfad] c:\programme\toshiba\toshiba applet\tappsrv.exe
c:\programme\toshiba\toshiba applet\tappsrv.exe - OK
[Scanpfad] c:\programme\toshiba\toshiba applet\thotkey.exe
c:\programme\toshiba\toshiba applet\thotkey.exe - OK
[Scanpfad] c:\programme\toshiba\toshiba controls\tfncky.exe
c:\programme\toshiba\toshiba controls\tfncky.exe - OK
[Scanpfad] c:\programme\toshiba\toshiba controls\toshsrv.cpl
c:\programme\toshiba\toshiba controls\toshsrv.cpl - OK
[Scanpfad] c:\programme\windows defender\mpcmdrun.exe
c:\programme\windows defender\mpcmdrun.exe - OK
[Scanpfad] c:\programme\windows defender\mpshhook.dll
c:\programme\windows defender\mpshhook.dll - OK
[Scanpfad] c:\programme\windows defender\msmpeng.exe
c:\programme\windows defender\msmpeng.exe - OK
[Scanpfad] c:\programme\windows media player\wmpnetwk.exe
c:\programme\windows media player\wmpnetwk.exe - OK
[Scanpfad] c:\programme\winrar\rarext.dll
c:\programme\winrar\rarext.dll - OK
[Scanpfad] c:\windows\apppatch\acadproc.dll
c:\windows\apppatch\acadproc.dll - OK
[Scanpfad] c:\windows\apppatch\acgenral.dll
c:\windows\apppatch\acgenral.dll - OK
[Scanpfad] c:\windows\downloaded program files\ipsuploader4.ocx
c:\windows\downloaded program files\ipsuploader4.ocx - OK
[Scanpfad] c:\windows\explorer.exe
c:\windows\explorer.exe - OK
[Scanpfad] c:\windows\inf\msmsgs.inf
c:\windows\inf\msmsgs.inf - OK
[Scanpfad] c:\windows\inf\msnetmtg.inf
c:\windows\inf\msnetmtg.inf - OK
[Scanpfad] c:\windows\inf\unregmp2.exe
c:\windows\inf\unregmp2.exe - OK
[Scanpfad] c:\windows\inf\wmp11.inf
c:\windows\inf\wmp11.inf - OK
[Scanpfad] c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe - OK
[Scanpfad] c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe - OK
[Scanpfad] c:\windows\msagent\agentpsh.dll
c:\windows\msagent\agentpsh.dll - OK
[Scanpfad] c:\windows\network diagnostic\xpnetdiag.exe
c:\windows\network diagnostic\xpnetdiag.exe - OK
[Scanpfad] c:\windows\pchealth\helpctr\binaries\pchsvc.dll
c:\windows\pchealth\helpctr\binaries\pchsvc.dll - OK
[Scanpfad] c:\windows\system32\acs.exe
c:\windows\system32\acs.exe - OK
[Scanpfad] c:\windows\system32\advapi32.dll
c:\windows\system32\advapi32.dll - OK
[Scanpfad] c:\windows\system32\advpack.dll
c:\windows\system32\advpack.dll - OK
[Scanpfad] c:\windows\system32\alg.exe
c:\windows\system32\alg.exe - OK
[Scanpfad] c:\windows\system32\alrsvc.dll
c:\windows\system32\alrsvc.dll - OK
[Scanpfad] c:\windows\system32\apphelp.dll
c:\windows\system32\apphelp.dll - OK
[Scanpfad] c:\windows\system32\appmgmts.dll
c:\windows\system32\appmgmts.dll - OK
[Scanpfad] c:\windows\system32\appwiz.cpl
c:\windows\system32\appwiz.cpl - OK
[Scanpfad] c:\windows\system32\atl.dll
c:\windows\system32\atl.dll - OK
[Scanpfad] c:\windows\system32\audiodev.dll
c:\windows\system32\audiodev.dll gepackt von PESTUB
>c:\windows\system32\audiodev.dll - OK
[Scanpfad] c:\windows\system32\audiosrv.dll
c:\windows\system32\audiosrv.dll - OK
[Scanpfad] c:\windows\system32\authz.dll
c:\windows\system32\authz.dll - OK
[Scanpfad] c:\windows\system32\autochk.exe
c:\windows\system32\autochk.exe - OK
[Scanpfad] c:\windows\system32\basesrv.dll
c:\windows\system32\basesrv.dll - OK
[Scanpfad] c:\windows\system32\browselc.dll
c:\windows\system32\browselc.dll gepackt von ZLIB
>c:\windows\system32\browselc.dll - Archiv BINARYRES
>>c:\windows\system32\browselc.dll/data001 - OK
>c:\windows\system32\browselc.dll - OK
[Scanpfad] c:\windows\system32\browser.dll
c:\windows\system32\browser.dll - OK
[Scanpfad] c:\windows\system32\browseui.dll
c:\windows\system32\browseui.dll - OK
[Scanpfad] c:\windows\system32\cabview.dll
c:\windows\system32\cabview.dll - OK
[Scanpfad] c:\windows\system32\certcli.dll
c:\windows\system32\certcli.dll - OK
[Scanpfad] c:\windows\system32\cisvc.exe
c:\windows\system32\cisvc.exe - OK
[Scanpfad] c:\windows\system32\clbcatq.dll
c:\windows\system32\clbcatq.dll - OK
[Scanpfad] c:\windows\system32\clipsrv.exe
c:\windows\system32\clipsrv.exe - OK
[Scanpfad] c:\windows\system32\cnbjmon.dll
c:\windows\system32\cnbjmon.dll - OK
[Scanpfad] c:\windows\system32\comctl32.dll
c:\windows\system32\comctl32.dll - OK
[Scanpfad] c:\windows\system32\comdlg32.dll
c:\windows\system32\comdlg32.dll - OK
[Scanpfad] c:\windows\system32\comres.dll
c:\windows\system32\comres.dll - OK
[Scanpfad] c:\windows\system32\config\systemprofile\startmenü\programme\autostart\desktop.ini
c:\windows\system32\config\systemprofile\startmenü\programme\autostart\desktop.ini - OK
[Scanpfad] c:\windows\system32\credui.dll
c:\windows\system32\credui.dll - OK
[Scanpfad] c:\windows\system32\crypt32.dll
c:\windows\system32\crypt32.dll - OK
[Scanpfad] c:\windows\system32\cryptdll.dll
c:\windows\system32\cryptdll.dll - OK
[Scanpfad] c:\windows\system32\cryptext.dll
c:\windows\system32\cryptext.dll - OK
[Scanpfad] c:\windows\system32\cryptnet.dll
c:\windows\system32\cryptnet.dll - OK
[Scanpfad] c:\windows\system32\cryptsvc.dll
c:\windows\system32\cryptsvc.dll - OK
[Scanpfad] c:\windows\system32\cryptui.dll
c:\windows\system32\cryptui.dll - OK
[Scanpfad] c:\windows\system32\cscdll.dll
c:\windows\system32\cscdll.dll - OK
[Scanpfad] c:\windows\system32\cscui.dll
c:\windows\system32\cscui.dll - OK
[Scanpfad] c:\windows\system32\csrsrv.dll
c:\windows\system32\csrsrv.dll - OK
[Scanpfad] c:\windows\system32\csrss.exe
c:\windows\system32\csrss.exe - OK
[Scanpfad] c:\windows\system32\ctfmon.exe
c:\windows\system32\ctfmon.exe - OK
[Scanpfad] c:\windows\system32\davclnt.dll
c:\windows\system32\davclnt.dll - OK
[Scanpfad] c:\windows\system32\deskadp.dll
c:\windows\system32\deskadp.dll - OK
[Scanpfad] c:\windows\system32\deskmon.dll
c:\windows\system32\deskmon.dll - OK
[Scanpfad] c:\windows\system32\deskperf.dll
c:\windows\system32\deskperf.dll - OK
[Scanpfad] c:\windows\system32\dfshim.dll
c:\windows\system32\dfshim.dll - OK
[Scanpfad] c:\windows\system32\dfsshlex.dll
c:\windows\system32\dfsshlex.dll - OK
[Scanpfad] c:\windows\system32\dhcpcsvc.dll
c:\windows\system32\dhcpcsvc.dll - OK
[Scanpfad] c:\windows\system32\digest.dll
c:\windows\system32\digest.dll - OK
[Scanpfad] c:\windows\system32\dimsntfy.dll
c:\windows\system32\dimsntfy.dll - OK
[Scanpfad] c:\windows\system32\diskcopy.dll
c:\windows\system32\diskcopy.dll - OK
[Scanpfad] c:\windows\system32\dllhost.exe
c:\windows\system32\dllhost.exe - OK
[Scanpfad] c:\windows\system32\dmadmin.exe
c:\windows\system32\dmadmin.exe - OK
[Scanpfad] c:\windows\system32\dmserver.dll
c:\windows\system32\dmserver.dll - OK
[Scanpfad] c:\windows\system32\dnsapi.dll
c:\windows\system32\dnsapi.dll - OK
[Scanpfad] c:\windows\system32\dnsrslvr.dll
c:\windows\system32\dnsrslvr.dll - OK
[Scanpfad] c:\windows\system32\docprop.dll
c:\windows\system32\docprop.dll - OK
[Scanpfad] c:\windows\system32\docprop2.dll
c:\windows\system32\docprop2.dll - OK
[Scanpfad] c:\windows\system32\dot3api.dll
c:\windows\system32\dot3api.dll - OK
[Scanpfad] c:\windows\system32\dot3dlg.dll
c:\windows\system32\dot3dlg.dll - OK
[Scanpfad] c:\windows\system32\dot3gpclnt.dll
c:\windows\system32\dot3gpclnt.dll - OK
[Scanpfad] c:\windows\system32\dot3svc.dll
c:\windows\system32\dot3svc.dll - OK
|
|
08.04.2009, 14:22
| #13 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Teil 2 Code:
ATTFilter [Scanpfad] c:\windows\system32\drivers\acpi.sys
c:\windows\system32\drivers\acpi.sys - OK
[Scanpfad] c:\windows\system32\drivers\acpiec.sys
c:\windows\system32\drivers\acpiec.sys - OK
[Scanpfad] c:\windows\system32\drivers\aec.sys
c:\windows\system32\drivers\aec.sys - OK
[Scanpfad] c:\windows\system32\drivers\afd.sys
c:\windows\system32\drivers\afd.sys - OK
[Scanpfad] c:\windows\system32\drivers\all1683.sys
c:\windows\system32\drivers\all1683.sys - OK
[Scanpfad] c:\windows\system32\drivers\asyncmac.sys
c:\windows\system32\drivers\asyncmac.sys - OK
[Scanpfad] c:\windows\system32\drivers\atapi.sys
c:\windows\system32\drivers\atapi.sys - OK
[Scanpfad] c:\windows\system32\drivers\atmarpc.sys
c:\windows\system32\drivers\atmarpc.sys - OK
[Scanpfad] c:\windows\system32\drivers\audstub.sys
c:\windows\system32\drivers\audstub.sys - OK
[Scanpfad] c:\windows\system32\drivers\beep.sys
c:\windows\system32\drivers\beep.sys - OK
[Scanpfad] c:\windows\system32\drivers\cdaudio.sys
c:\windows\system32\drivers\cdaudio.sys - OK
[Scanpfad] c:\windows\system32\drivers\cdrom.sys
c:\windows\system32\drivers\cdrom.sys - OK
[Scanpfad] c:\windows\system32\drivers\cmbatt.sys
c:\windows\system32\drivers\cmbatt.sys - OK
[Scanpfad] c:\windows\system32\drivers\compbatt.sys
c:\windows\system32\drivers\compbatt.sys - OK
[Scanpfad] c:\windows\system32\drivers\disk.sys
c:\windows\system32\drivers\disk.sys - OK
[Scanpfad] c:\windows\system32\drivers\dmboot.sys
c:\windows\system32\drivers\dmboot.sys - OK
[Scanpfad] c:\windows\system32\drivers\dmio.sys
c:\windows\system32\drivers\dmio.sys - OK
[Scanpfad] c:\windows\system32\drivers\dmload.sys
c:\windows\system32\drivers\dmload.sys - OK
[Scanpfad] c:\windows\system32\drivers\dmusic.sys
c:\windows\system32\drivers\dmusic.sys - OK
[Scanpfad] c:\windows\system32\drivers\drmkaud.sys
c:\windows\system32\drivers\drmkaud.sys - OK
[Scanpfad] c:\windows\system32\drivers\ewusbmdm.sys
c:\windows\system32\drivers\ewusbmdm.sys - OK
[Scanpfad] c:\windows\system32\drivers\fdc.sys
c:\windows\system32\drivers\fdc.sys - OK
[Scanpfad] c:\windows\system32\drivers\fips.sys
c:\windows\system32\drivers\fips.sys - OK
[Scanpfad] c:\windows\system32\drivers\flpydisk.sys
c:\windows\system32\drivers\flpydisk.sys - OK
[Scanpfad] c:\windows\system32\drivers\fltmgr.sys
c:\windows\system32\drivers\fltmgr.sys - OK
[Scanpfad] c:\windows\system32\drivers\fs_rec.sys
c:\windows\system32\drivers\fs_rec.sys - OK
[Scanpfad] c:\windows\system32\drivers\ftdisk.sys
c:\windows\system32\drivers\ftdisk.sys - OK
[Scanpfad] c:\windows\system32\drivers\fwlnk.sys
c:\windows\system32\drivers\fwlnk.sys - OK
[Scanpfad] c:\windows\system32\drivers\hdaudbus.sys
c:\windows\system32\drivers\hdaudbus.sys - OK
[Scanpfad] c:\windows\system32\drivers\hidusb.sys
c:\windows\system32\drivers\hidusb.sys - OK
[Scanpfad] c:\windows\system32\drivers\hsf_cnxt.sys
c:\windows\system32\drivers\hsf_cnxt.sys - OK
[Scanpfad] c:\windows\system32\drivers\hsf_dpv.sys
c:\windows\system32\drivers\hsf_dpv.sys - OK
[Scanpfad] c:\windows\system32\drivers\hsfhwazl.sys
c:\windows\system32\drivers\hsfhwazl.sys - OK
[Scanpfad] c:\windows\system32\drivers\http.sys
c:\windows\system32\drivers\http.sys - OK
[Scanpfad] c:\windows\system32\drivers\i8042prt.sys
c:\windows\system32\drivers\i8042prt.sys - OK
[Scanpfad] c:\windows\system32\drivers\igxpmp32.sys
c:\windows\system32\drivers\igxpmp32.sys - OK
[Scanpfad] c:\windows\system32\drivers\imapi.sys
c:\windows\system32\drivers\imapi.sys - OK
[Scanpfad] c:\windows\system32\drivers\intelppm.sys
c:\windows\system32\drivers\intelppm.sys - OK
[Scanpfad] c:\windows\system32\drivers\ip6fw.sys
c:\windows\system32\drivers\ip6fw.sys - OK
[Scanpfad] c:\windows\system32\drivers\ipfltdrv.sys
c:\windows\system32\drivers\ipfltdrv.sys - OK
[Scanpfad] c:\windows\system32\drivers\ipinip.sys
c:\windows\system32\drivers\ipinip.sys - OK
[Scanpfad] c:\windows\system32\drivers\ipnat.sys
c:\windows\system32\drivers\ipnat.sys - OK
[Scanpfad] c:\windows\system32\drivers\ipsec.sys
c:\windows\system32\drivers\ipsec.sys - OK
[Scanpfad] c:\windows\system32\drivers\irenum.sys
c:\windows\system32\drivers\irenum.sys - OK
[Scanpfad] c:\windows\system32\drivers\isapnp.sys
c:\windows\system32\drivers\isapnp.sys - OK
[Scanpfad] c:\windows\system32\drivers\kbdclass.sys
c:\windows\system32\drivers\kbdclass.sys - OK
[Scanpfad] c:\windows\system32\drivers\kbdhid.sys
c:\windows\system32\drivers\kbdhid.sys - OK
[Scanpfad] c:\windows\system32\drivers\kmixer.sys
c:\windows\system32\drivers\kmixer.sys - OK
[Scanpfad] c:\windows\system32\drivers\ksecdd.sys
c:\windows\system32\drivers\ksecdd.sys - OK
[Scanpfad] c:\windows\system32\drivers\mdmxsdk.sys
c:\windows\system32\drivers\mdmxsdk.sys - OK
[Scanpfad] c:\windows\system32\drivers\mnmdd.sys
c:\windows\system32\drivers\mnmdd.sys - OK
[Scanpfad] c:\windows\system32\drivers\mouclass.sys
c:\windows\system32\drivers\mouclass.sys - OK
[Scanpfad] c:\windows\system32\drivers\mouhid.sys
c:\windows\system32\drivers\mouhid.sys - OK
[Scanpfad] c:\windows\system32\drivers\mountmgr.sys
c:\windows\system32\drivers\mountmgr.sys - OK
[Scanpfad] c:\windows\system32\drivers\mrxdav.sys
c:\windows\system32\drivers\mrxdav.sys - OK
[Scanpfad] c:\windows\system32\drivers\mrxsmb.sys
c:\windows\system32\drivers\mrxsmb.sys - OK
[Scanpfad] c:\windows\system32\drivers\msfs.sys
c:\windows\system32\drivers\msfs.sys - OK
[Scanpfad] c:\windows\system32\drivers\msgpc.sys
c:\windows\system32\drivers\msgpc.sys - OK
[Scanpfad] c:\windows\system32\drivers\mskssrv.sys
c:\windows\system32\drivers\mskssrv.sys - OK
[Scanpfad] c:\windows\system32\drivers\mspclock.sys
c:\windows\system32\drivers\mspclock.sys - OK
[Scanpfad] c:\windows\system32\drivers\mspqm.sys
c:\windows\system32\drivers\mspqm.sys - OK
[Scanpfad] c:\windows\system32\drivers\mssmbios.sys
c:\windows\system32\drivers\mssmbios.sys - OK
[Scanpfad] c:\windows\system32\drivers\mup.sys
c:\windows\system32\drivers\mup.sys - OK
[Scanpfad] c:\windows\system32\drivers\ndis.sys
c:\windows\system32\drivers\ndis.sys - OK
[Scanpfad] c:\windows\system32\drivers\ndistapi.sys
c:\windows\system32\drivers\ndistapi.sys - OK
[Scanpfad] c:\windows\system32\drivers\ndisuio.sys
c:\windows\system32\drivers\ndisuio.sys - OK
[Scanpfad] c:\windows\system32\drivers\ndiswan.sys
c:\windows\system32\drivers\ndiswan.sys - OK
[Scanpfad] c:\windows\system32\drivers\netbios.sys
c:\windows\system32\drivers\netbios.sys - OK
[Scanpfad] c:\windows\system32\drivers\netbt.sys
c:\windows\system32\drivers\netbt.sys - OK
[Scanpfad] c:\windows\system32\drivers\netdevio.sys
c:\windows\system32\drivers\netdevio.sys - OK
[Scanpfad] c:\windows\system32\drivers\npcpload.sys
c:\windows\system32\drivers\npcpload.sys - OK
[Scanpfad] c:\windows\system32\drivers\npdriver.sys
c:\windows\system32\drivers\npdriver.sys - OK
[Scanpfad] c:\windows\system32\drivers\npfs.sys
c:\windows\system32\drivers\npfs.sys - OK
[Scanpfad] c:\windows\system32\drivers\null.sys
c:\windows\system32\drivers\null.sys - OK
[Scanpfad] c:\windows\system32\drivers\nvcw32mf.sys
c:\windows\system32\drivers\nvcw32mf.sys - OK
[Scanpfad] c:\windows\system32\drivers\nwlnkflt.sys
c:\windows\system32\drivers\nwlnkflt.sys - OK
[Scanpfad] c:\windows\system32\drivers\nwlnkfwd.sys
c:\windows\system32\drivers\nwlnkfwd.sys - OK
[Scanpfad] c:\windows\system32\drivers\partmgr.sys
c:\windows\system32\drivers\partmgr.sys - OK
[Scanpfad] c:\windows\system32\drivers\pci.sys
c:\windows\system32\drivers\pci.sys - OK
[Scanpfad] c:\windows\system32\drivers\pciide.sys
c:\windows\system32\drivers\pciide.sys - OK
[Scanpfad] c:\windows\system32\drivers\processr.sys
c:\windows\system32\drivers\processr.sys - OK
[Scanpfad] c:\windows\system32\drivers\psched.sys
c:\windows\system32\drivers\psched.sys - OK
[Scanpfad] c:\windows\system32\drivers\ptilink.sys
c:\windows\system32\drivers\ptilink.sys - OK
[Scanpfad] c:\windows\system32\drivers\rasacd.sys
c:\windows\system32\drivers\rasacd.sys - OK
[Scanpfad] c:\windows\system32\drivers\rasl2tp.sys
c:\windows\system32\drivers\rasl2tp.sys - OK
[Scanpfad] c:\windows\system32\drivers\raspppoe.sys
c:\windows\system32\drivers\raspppoe.sys - OK
[Scanpfad] c:\windows\system32\drivers\raspptp.sys
c:\windows\system32\drivers\raspptp.sys - OK
[Scanpfad] c:\windows\system32\drivers\raspti.sys
c:\windows\system32\drivers\raspti.sys - OK
[Scanpfad] c:\windows\system32\drivers\rdbss.sys
c:\windows\system32\drivers\rdbss.sys - OK
[Scanpfad] c:\windows\system32\drivers\rdpcdd.sys
c:\windows\system32\drivers\rdpcdd.sys - OK
[Scanpfad] c:\windows\system32\drivers\rdpdr.sys
c:\windows\system32\drivers\rdpdr.sys - OK
[Scanpfad] c:\windows\system32\drivers\rdpwd.sys
c:\windows\system32\drivers\rdpwd.sys - OK
[Scanpfad] c:\windows\system32\drivers\redbook.sys
c:\windows\system32\drivers\redbook.sys - OK
[Scanpfad] c:\windows\system32\drivers\rtenicxp.sys
c:\windows\system32\drivers\rtenicxp.sys - OK
[Scanpfad] c:\windows\system32\drivers\rtkhdaud.sys
c:\windows\system32\drivers\rtkhdaud.sys - OK
[Scanpfad] c:\windows\system32\drivers\rtl8187b.sys
c:\windows\system32\drivers\rtl8187b.sys - OK
[Scanpfad] c:\windows\system32\drivers\scsiport.sys
c:\windows\system32\drivers\scsiport.sys - OK
[Scanpfad] c:\windows\system32\drivers\secdrv.sys
c:\windows\system32\drivers\secdrv.sys - OK
[Scanpfad] c:\windows\system32\drivers\sfloppy.sys
c:\windows\system32\drivers\sfloppy.sys - OK
[Scanpfad] c:\windows\system32\drivers\splitter.sys
c:\windows\system32\drivers\splitter.sys - OK
[Scanpfad] c:\windows\system32\drivers\sr.sys
c:\windows\system32\drivers\sr.sys - OK
[Scanpfad] c:\windows\system32\drivers\srv.sys
c:\windows\system32\drivers\srv.sys - OK
[Scanpfad] c:\windows\system32\drivers\swenum.sys
c:\windows\system32\drivers\swenum.sys - OK
[Scanpfad] c:\windows\system32\drivers\swmidi.sys
c:\windows\system32\drivers\swmidi.sys - OK
[Scanpfad] c:\windows\system32\drivers\syntp.sys
c:\windows\system32\drivers\syntp.sys - OK
[Scanpfad] c:\windows\system32\drivers\sysaudio.sys
c:\windows\system32\drivers\sysaudio.sys - OK
[Scanpfad] c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\drivers\tcpip.sys - OK
[Scanpfad] c:\windows\system32\drivers\tdpipe.sys
c:\windows\system32\drivers\tdpipe.sys - OK
[Scanpfad] c:\windows\system32\drivers\tdtcp.sys
c:\windows\system32\drivers\tdtcp.sys - OK
[Scanpfad] c:\windows\system32\drivers\termdd.sys
c:\windows\system32\drivers\termdd.sys - OK
[Scanpfad] c:\windows\system32\drivers\update.sys
c:\windows\system32\drivers\update.sys - OK
[Scanpfad] c:\windows\system32\drivers\usbaudio.sys
c:\windows\system32\drivers\usbaudio.sys - OK
[Scanpfad] c:\windows\system32\drivers\usbccgp.sys
c:\windows\system32\drivers\usbccgp.sys - OK
[Scanpfad] c:\windows\system32\drivers\usbehci.sys
c:\windows\system32\drivers\usbehci.sys - OK
[Scanpfad] c:\windows\system32\drivers\usbhub.sys
c:\windows\system32\drivers\usbhub.sys - OK
[Scanpfad] c:\windows\system32\drivers\usbprint.sys
c:\windows\system32\drivers\usbprint.sys - OK
[Scanpfad] c:\windows\system32\drivers\usbstor.sys
c:\windows\system32\drivers\usbstor.sys - OK
[Scanpfad] c:\windows\system32\drivers\usbuhci.sys
c:\windows\system32\drivers\usbuhci.sys - OK
[Scanpfad] c:\windows\system32\drivers\vga.sys
c:\windows\system32\drivers\vga.sys - OK
[Scanpfad] c:\windows\system32\drivers\volsnap.sys
c:\windows\system32\drivers\volsnap.sys - OK
[Scanpfad] c:\windows\system32\drivers\w800bus.sys
c:\windows\system32\drivers\w800bus.sys - OK
[Scanpfad] c:\windows\system32\drivers\w800mdfl.sys
c:\windows\system32\drivers\w800mdfl.sys - OK
[Scanpfad] c:\windows\system32\drivers\w800mdm.sys
c:\windows\system32\drivers\w800mdm.sys - OK
[Scanpfad] c:\windows\system32\drivers\w800mgmt.sys
c:\windows\system32\drivers\w800mgmt.sys - OK
[Scanpfad] c:\windows\system32\drivers\w800obex.sys
c:\windows\system32\drivers\w800obex.sys - OK
[Scanpfad] c:\windows\system32\drivers\wanarp.sys
c:\windows\system32\drivers\wanarp.sys - OK
[Scanpfad] c:\windows\system32\drivers\wdmaud.sys
c:\windows\system32\drivers\wdmaud.sys - OK
[Scanpfad] c:\windows\system32\drivers\ws2ifsl.sys
c:\windows\system32\drivers\ws2ifsl.sys - OK
[Scanpfad] c:\windows\system32\drivers\wsimd.sys
c:\windows\system32\drivers\wsimd.sys - OK
[Scanpfad] c:\windows\system32\drivers\wudfpf.sys
c:\windows\system32\drivers\wudfpf.sys - OK
[Scanpfad] c:\windows\system32\drivers\wudfrd.sys
c:\windows\system32\drivers\wudfrd.sys - OK
[Scanpfad] c:\windows\system32\drprov.dll
c:\windows\system32\drprov.dll - OK
[Scanpfad] c:\windows\system32\dskquota.dll
c:\windows\system32\dskquota.dll - OK
[Scanpfad] c:\windows\system32\dskquoui.dll
c:\windows\system32\dskquoui.dll - OK
[Scanpfad] c:\windows\system32\dsquery.dll
c:\windows\system32\dsquery.dll - OK
[Scanpfad] c:\windows\system32\dssec.dll
c:\windows\system32\dssec.dll - OK
[Scanpfad] c:\windows\system32\dsuiext.dll
c:\windows\system32\dsuiext.dll - OK
[Scanpfad] c:\windows\system32\eappcfg.dll
c:\windows\system32\eappcfg.dll - OK
[Scanpfad] c:\windows\system32\eappprxy.dll
c:\windows\system32\eappprxy.dll - OK
[Scanpfad] c:\windows\system32\eapsvc.dll
c:\windows\system32\eapsvc.dll - OK
[Scanpfad] c:\windows\system32\ersvc.dll
c:\windows\system32\ersvc.dll - OK
[Scanpfad] c:\windows\system32\es.dll
c:\windows\system32\es.dll - OK
[Scanpfad] c:\windows\system32\esent.dll
c:\windows\system32\esent.dll - OK
[Scanpfad] c:\windows\system32\eventlog.dll
c:\windows\system32\eventlog.dll - OK
[Scanpfad] c:\windows\system32\extmgr.dll
c:\windows\system32\extmgr.dll - OK
[Scanpfad] c:\windows\system32\fdeploy.dll
c:\windows\system32\fdeploy.dll - OK
[Scanpfad] c:\windows\system32\firewall.cpl
c:\windows\system32\firewall.cpl - OK
[Scanpfad] c:\windows\system32\fontext.dll
c:\windows\system32\fontext.dll - Archiv BINARYRES
>c:\windows\system32\fontext.dll/data001 gepackt von MS COMPRESS
>>c:\windows\system32\fontext.dll/data001 - OK
>c:\windows\system32\fontext.dll/data002 gepackt von MS COMPRESS
>>c:\windows\system32\fontext.dll/data002 - OK
c:\windows\system32\fontext.dll - OK
[Scanpfad] c:\windows\system32\gdi32.dll
c:\windows\system32\gdi32.dll - OK
[Scanpfad] c:\windows\system32\gptext.dll
c:\windows\system32\gptext.dll - OK
[Scanpfad] c:\windows\system32\hhctrl.ocx
c:\windows\system32\hhctrl.ocx - OK
[Scanpfad] c:\windows\system32\hidserv.dll
c:\windows\system32\hidserv.dll - OK
[Scanpfad] c:\windows\system32\hkcmd.exe
c:\windows\system32\hkcmd.exe - OK
[Scanpfad] c:\windows\system32\hnetcfg.dll
c:\windows\system32\hnetcfg.dll - OK
[Scanpfad] c:\windows\system32\hp1006lm.dll
c:\windows\system32\hp1006lm.dll - OK
[Scanpfad] c:\windows\system32\hppeil.sys
c:\windows\system32\hppeil.sys - OK
[Scanpfad] c:\windows\system32\hticons.dll
c:\windows\system32\hticons.dll - OK
[Scanpfad] c:\windows\system32\icmui.dll
c:\windows\system32\icmui.dll - OK
[Scanpfad] c:\windows\system32\ie4uinit.exe
c:\windows\system32\ie4uinit.exe - OK
[Scanpfad] c:\windows\system32\iedkcs32.dll
c:\windows\system32\iedkcs32.dll - OK
[Scanpfad] c:\windows\system32\ieframe.dll
c:\windows\system32\ieframe.dll - OK
[Scanpfad] c:\windows\system32\iertutil.dll
c:\windows\system32\iertutil.dll - OK
[Scanpfad] c:\windows\system32\ieudinit.exe
c:\windows\system32\ieudinit.exe - OK
[Scanpfad] c:\windows\system32\igfxdev.dll
c:\windows\system32\igfxdev.dll - OK
[Scanpfad] c:\windows\system32\igfxpers.exe
c:\windows\system32\igfxpers.exe - OK
[Scanpfad] c:\windows\system32\igfxtray.exe
c:\windows\system32\igfxtray.exe - OK
[Scanpfad] c:\windows\system32\imagehlp.dll
c:\windows\system32\imagehlp.dll - OK
[Scanpfad] c:\windows\system32\imapi.exe
c:\windows\system32\imapi.exe - OK
[Scanpfad] c:\windows\system32\imm32.dll
c:\windows\system32\imm32.dll - OK
[Scanpfad] c:\windows\system32\inetcomm.dll
c:\windows\system32\inetcomm.dll - OK
[Scanpfad] c:\windows\system32\iphlpapi.dll
c:\windows\system32\iphlpapi.dll - OK
[Scanpfad] c:\windows\system32\ipnathlp.dll
c:\windows\system32\ipnathlp.dll - OK
[Scanpfad] c:\windows\system32\itss.dll
c:\windows\system32\itss.dll - OK
[Scanpfad] c:\windows\system32\kerberos.dll
c:\windows\system32\kerberos.dll - OK
[Scanpfad] c:\windows\system32\kernel32.dll
c:\windows\system32\kernel32.dll - OK
[Scanpfad] c:\windows\system32\kmsvc.dll
c:\windows\system32\kmsvc.dll - OK
[Scanpfad] c:\windows\system32\legitcheckcontrol.dll
c:\windows\system32\legitcheckcontrol.dll - OK
[Scanpfad] c:\windows\system32\linkinfo.dll
c:\windows\system32\linkinfo.dll - OK
[Scanpfad] c:\windows\system32\lmhsvc.dll
c:\windows\system32\lmhsvc.dll - OK
[Scanpfad] c:\windows\system32\localspl.dll
c:\windows\system32\localspl.dll - OK
[Scanpfad] c:\windows\system32\locator.exe
c:\windows\system32\locator.exe - OK
[Scanpfad] c:\windows\system32\logon.scr
c:\windows\system32\logon.scr - OK
[Scanpfad] c:\windows\system32\logonui.exe
c:\windows\system32\logonui.exe - OK
[Scanpfad] c:\windows\system32\lsasrv.dll
c:\windows\system32\lsasrv.dll - OK
[Scanpfad] c:\windows\system32\lsass.exe
c:\windows\system32\lsass.exe - OK
[Scanpfad] c:\windows\system32\lsdelete.exe
c:\windows\system32\lsdelete.exe - OK
[Scanpfad] c:\windows\system32\lz32.dll
c:\windows\system32\lz32.dll - OK
[Scanpfad] c:\windows\system32\mlang.dll
c:\windows\system32\mlang.dll - OK
[Scanpfad] c:\windows\system32\mmcshext.dll
c:\windows\system32\mmcshext.dll - OK
[Scanpfad] c:\windows\system32\mmsys.cpl
c:\windows\system32\mmsys.cpl - OK
[Scanpfad] c:\windows\system32\mnmsrvc.exe
c:\windows\system32\mnmsrvc.exe - OK
[Scanpfad] c:\windows\system32\mpr.dll
c:\windows\system32\mpr.dll - OK
[Scanpfad] c:\windows\system32\mprdim.dll
c:\windows\system32\mprdim.dll - OK
[Scanpfad] c:\windows\system32\msacm32.dll
c:\windows\system32\msacm32.dll - OK
[Scanpfad] c:\windows\system32\msapsspc.dll
c:\windows\system32\msapsspc.dll - OK
[Scanpfad] c:\windows\system32\msasn1.dll
c:\windows\system32\msasn1.dll - OK
[Scanpfad] c:\windows\system32\mscoree.dll
c:\windows\system32\mscoree.dll - OK
[Scanpfad] c:\windows\system32\mscories.dll
c:\windows\system32\mscories.dll - OK
[Scanpfad] c:\windows\system32\msctf.dll
c:\windows\system32\msctf.dll - OK
[Scanpfad] c:\windows\system32\msctfime.ime
c:\windows\system32\msctfime.ime - OK
[Scanpfad] c:\windows\system32\msdtc.exe
c:\windows\system32\msdtc.exe - OK
[Scanpfad] c:\windows\system32\msgina.dll
c:\windows\system32\msgina.dll - OK
[Scanpfad] c:\windows\system32\msgsvc.dll
c:\windows\system32\msgsvc.dll - OK
[Scanpfad] c:\windows\system32\mshtml.dll
c:\windows\system32\mshtml.dll - OK
[Scanpfad] c:\windows\system32\msi.dll
c:\windows\system32\msi.dll - OK
[Scanpfad] c:\windows\system32\msieftp.dll
c:\windows\system32\msieftp.dll - OK
[Scanpfad] c:\windows\system32\msiexec.exe
c:\windows\system32\msiexec.exe - OK
[Scanpfad] c:\windows\system32\msimg32.dll
c:\windows\system32\msimg32.dll - OK
[Scanpfad] c:\windows\system32\msnsspc.dll
c:\windows\system32\msnsspc.dll - OK
[Scanpfad] c:\windows\system32\mspmsnsv.dll
c:\windows\system32\mspmsnsv.dll - OK
[Scanpfad] c:\windows\system32\msprivs.dll
c:\windows\system32\msprivs.dll - OK
[Scanpfad] c:\windows\system32\mstask.dll
c:\windows\system32\mstask.dll - OK
[Scanpfad] c:\windows\system32\msutb.dll
c:\windows\system32\msutb.dll - OK
[Scanpfad] c:\windows\system32\msv1_0.dll
c:\windows\system32\msv1_0.dll - OK
[Scanpfad] c:\windows\system32\msvcp60.dll
c:\windows\system32\msvcp60.dll - OK
[Scanpfad] c:\windows\system32\msvcrt.dll
c:\windows\system32\msvcrt.dll - OK
[Scanpfad] c:\windows\system32\msvidctl.dll
c:\windows\system32\msvidctl.dll - OK
[Scanpfad] c:\windows\system32\mswsock.dll
c:\windows\system32\mswsock.dll - OK
[Scanpfad] c:\windows\system32\mui\0007\hhctrlui.dll
c:\windows\system32\mui\0007\hhctrlui.dll - OK
[Scanpfad] c:\windows\system32\mydocs.dll
c:\windows\system32\mydocs.dll - OK
[Scanpfad] c:\windows\system32\ncobjapi.dll
c:\windows\system32\ncobjapi.dll - OK
[Scanpfad] c:\windows\system32\nddeapi.dll
c:\windows\system32\nddeapi.dll - OK
[Scanpfad] c:\windows\system32\netapi32.dll
c:\windows\system32\netapi32.dll - OK
[Scanpfad] c:\windows\system32\netdde.exe
c:\windows\system32\netdde.exe - OK
[Scanpfad] c:\windows\system32\netlogon.dll
c:\windows\system32\netlogon.dll - OK
[Scanpfad] c:\windows\system32\netman.dll
c:\windows\system32\netman.dll - OK
[Scanpfad] c:\windows\system32\netplwiz.dll
c:\windows\system32\netplwiz.dll - OK
[Scanpfad] c:\windows\system32\netrap.dll
c:\windows\system32\netrap.dll - OK
[Scanpfad] c:\windows\system32\netsetup.cpl
c:\windows\system32\netsetup.cpl - OK
[Scanpfad] c:\windows\system32\netshell.dll
c:\windows\system32\netshell.dll - OK
[Scanpfad] c:\windows\system32\netui0.dll
c:\windows\system32\netui0.dll - OK
[Scanpfad] c:\windows\system32\netui1.dll
c:\windows\system32\netui1.dll - OK
[Scanpfad] c:\windows\system32\normaliz.dll
c:\windows\system32\normaliz.dll - OK
[Scanpfad] c:\windows\system32\ntdll.dll
c:\windows\system32\ntdll.dll - OK
[Scanpfad] c:\windows\system32\ntdsapi.dll
c:\windows\system32\ntdsapi.dll - OK
[Scanpfad] c:\windows\system32\ntlanman.dll
c:\windows\system32\ntlanman.dll - OK
[Scanpfad] c:\windows\system32\ntlanui2.dll
c:\windows\system32\ntlanui2.dll - OK
[Scanpfad] c:\windows\system32\ntmarta.dll
c:\windows\system32\ntmarta.dll gepackt von FLY-CODE
>c:\windows\system32\ntmarta.dll - OK
[Scanpfad] c:\windows\system32\ntmssvc.dll
c:\windows\system32\ntmssvc.dll - OK
[Scanpfad] c:\windows\system32\ntsd.exe
c:\windows\system32\ntsd.exe - OK
[Scanpfad] c:\windows\system32\ntshrui.dll
c:\windows\system32\ntshrui.dll - OK
[Scanpfad] c:\windows\system32\occache.dll
c:\windows\system32\occache.dll - OK
[Scanpfad] c:\windows\system32\odbc32.dll
c:\windows\system32\odbc32.dll - OK
[Scanpfad] c:\windows\system32\odbcint.dll
c:\windows\system32\odbcint.dll - OK
|
|
08.04.2009, 14:24
| #14 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Teil 3 Code:
ATTFilter [Scanpfad] c:\windows\system32\ole32.dll
c:\windows\system32\ole32.dll - OK
[Scanpfad] c:\windows\system32\oleaut32.dll
c:\windows\system32\oleaut32.dll - OK
[Scanpfad] c:\windows\system32\olecli32.dll
c:\windows\system32\olecli32.dll - OK
[Scanpfad] c:\windows\system32\olecnv32.dll
c:\windows\system32\olecnv32.dll - OK
[Scanpfad] c:\windows\system32\olesvr32.dll
c:\windows\system32\olesvr32.dll - OK
[Scanpfad] c:\windows\system32\olethk32.dll
c:\windows\system32\olethk32.dll - OK
[Scanpfad] c:\windows\system32\onex.dll
c:\windows\system32\onex.dll - OK
[Scanpfad] c:\windows\system32\photowiz.dll
c:\windows\system32\photowiz.dll - OK
[Scanpfad] c:\windows\system32\pjlmon.dll
c:\windows\system32\pjlmon.dll - OK
[Scanpfad] c:\windows\system32\plcndis5.sys
c:\windows\system32\plcndis5.sys - OK
[Scanpfad] c:\windows\system32\powrprof.dll
c:\windows\system32\powrprof.dll - OK
[Scanpfad] c:\windows\system32\printui.dll
c:\windows\system32\printui.dll - OK
[Scanpfad] c:\windows\system32\profmap.dll
c:\windows\system32\profmap.dll - OK
[Scanpfad] c:\windows\system32\psapi.dll
c:\windows\system32\psapi.dll - OK
[Scanpfad] c:\windows\system32\qagentrt.dll
c:\windows\system32\qagentrt.dll - OK
[Scanpfad] c:\windows\system32\qmgr.dll
c:\windows\system32\qmgr.dll - OK
[Scanpfad] c:\windows\system32\rasadhlp.dll
c:\windows\system32\rasadhlp.dll - OK
[Scanpfad] c:\windows\system32\rasauto.dll
c:\windows\system32\rasauto.dll - OK
[Scanpfad] c:\windows\system32\rasmans.dll
c:\windows\system32\rasmans.dll - OK
[Scanpfad] c:\windows\system32\regapi.dll
c:\windows\system32\regapi.dll - OK
[Scanpfad] c:\windows\system32\regsvc.dll
c:\windows\system32\regsvc.dll - OK
[Scanpfad] c:\windows\system32\regsvr32.exe
c:\windows\system32\regsvr32.exe - OK
[Scanpfad] c:\windows\system32\remotepg.dll
c:\windows\system32\remotepg.dll - OK
[Scanpfad] c:\windows\system32\riched20.dll
c:\windows\system32\riched20.dll - OK
[Scanpfad] c:\windows\system32\riched32.dll
c:\windows\system32\riched32.dll - OK
[Scanpfad] c:\windows\system32\rpcrt4.dll
c:\windows\system32\rpcrt4.dll - OK
[Scanpfad] c:\windows\system32\rpcss.dll
c:\windows\system32\rpcss.dll - OK
[Scanpfad] c:\windows\system32\rsaenh.dll
c:\windows\system32\rsaenh.dll - OK
[Scanpfad] c:\windows\system32\rshx32.dll
c:\windows\system32\rshx32.dll - OK
[Scanpfad] c:\windows\system32\rsvp.exe
c:\windows\system32\rsvp.exe - OK
[Scanpfad] c:\windows\system32\rsvpsp.dll
c:\windows\system32\rsvpsp.dll - OK
[Scanpfad] c:\windows\system32\rtutils.dll
c:\windows\system32\rtutils.dll - OK
[Scanpfad] c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe - OK
[Scanpfad] c:\windows\system32\samlib.dll
c:\windows\system32\samlib.dll - OK
[Scanpfad] c:\windows\system32\samsrv.dll
c:\windows\system32\samsrv.dll - OK
[Scanpfad] c:\windows\system32\scardsvr.exe
c:\windows\system32\scardsvr.exe - OK
[Scanpfad] c:\windows\system32\scecli.dll
c:\windows\system32\scecli.dll - OK
[Scanpfad] c:\windows\system32\scesrv.dll
c:\windows\system32\scesrv.dll - OK
[Scanpfad] c:\windows\system32\schannel.dll
c:\windows\system32\schannel.dll - OK
[Scanpfad] c:\windows\system32\schedsvc.dll
c:\windows\system32\schedsvc.dll - OK
[Scanpfad] c:\windows\system32\sclgntfy.dll
c:\windows\system32\sclgntfy.dll - OK
[Scanpfad] c:\windows\system32\seclogon.dll
c:\windows\system32\seclogon.dll - OK
[Scanpfad] c:\windows\system32\secur32.dll
c:\windows\system32\secur32.dll - OK
[Scanpfad] c:\windows\system32\sendmail.dll
c:\windows\system32\sendmail.dll - OK
[Scanpfad] c:\windows\system32\sens.dll
c:\windows\system32\sens.dll - OK
[Scanpfad] c:\windows\system32\services.exe
c:\windows\system32\services.exe - OK
[Scanpfad] c:\windows\system32\sessmgr.exe
c:\windows\system32\sessmgr.exe - OK
[Scanpfad] c:\windows\system32\setupapi.dll
c:\windows\system32\setupapi.dll - OK
[Scanpfad] c:\windows\system32\sfc.dll
c:\windows\system32\sfc.dll - OK
[Scanpfad] c:\windows\system32\sfc_os.dll
c:\windows\system32\sfc_os.dll - OK
[Scanpfad] c:\windows\system32\shdocvw.dll
c:\windows\system32\shdocvw.dll - OK
[Scanpfad] c:\windows\system32\shell32.dll
c:\windows\system32\shell32.dll - OK
[Scanpfad] c:\windows\system32\shimeng.dll
c:\windows\system32\shimeng.dll - OK
[Scanpfad] c:\windows\system32\shimgvw.dll
c:\windows\system32\shimgvw.dll - OK
[Scanpfad] c:\windows\system32\shlwapi.dll
c:\windows\system32\shlwapi.dll - OK
[Scanpfad] c:\windows\system32\shmedia.dll
c:\windows\system32\shmedia.dll - OK
[Scanpfad] c:\windows\system32\shmgrate.exe
c:\windows\system32\shmgrate.exe - OK
[Scanpfad] c:\windows\system32\shscrap.dll
c:\windows\system32\shscrap.dll - OK
[Scanpfad] c:\windows\system32\shsvcs.dll
c:\windows\system32\shsvcs.dll - OK
[Scanpfad] c:\windows\system32\slayerxp.dll
c:\windows\system32\slayerxp.dll - OK
[Scanpfad] c:\windows\system32\smlogsvc.exe
c:\windows\system32\smlogsvc.exe - OK
[Scanpfad] c:\windows\system32\smss.exe
c:\windows\system32\smss.exe - OK
[Scanpfad] c:\windows\system32\spool\drivers\w32x86\3\hp1006sx.dll
c:\windows\system32\spool\drivers\w32x86\3\hp1006sx.dll - OK
[Scanpfad] c:\windows\system32\spoolsv.exe
c:\windows\system32\spoolsv.exe - OK
[Scanpfad] c:\windows\system32\srsvc.dll
c:\windows\system32\srsvc.dll - OK
[Scanpfad] c:\windows\system32\srvsvc.dll
c:\windows\system32\srvsvc.dll - OK
[Scanpfad] c:\windows\system32\ssdpsrv.dll
c:\windows\system32\ssdpsrv.dll - OK
[Scanpfad] c:\windows\system32\stobject.dll
c:\windows\system32\stobject.dll - OK
[Scanpfad] c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe - OK
[Scanpfad] c:\windows\system32\sxs.dll
c:\windows\system32\sxs.dll - OK
[Scanpfad] c:\windows\system32\syncui.dll
c:\windows\system32\syncui.dll - OK
[Scanpfad] c:\windows\system32\tapisrv.dll
c:\windows\system32\tapisrv.dll - OK
[Scanpfad] c:\windows\system32\tcpmon.dll
c:\windows\system32\tcpmon.dll - OK
[Scanpfad] c:\windows\system32\termsrv.dll
c:\windows\system32\termsrv.dll - OK
[Scanpfad] c:\windows\system32\themeui.dll
c:\windows\system32\themeui.dll - OK
[Scanpfad] c:\windows\system32\tlntsvr.exe
c:\windows\system32\tlntsvr.exe - OK
[Scanpfad] c:\windows\system32\tpsmain.exe
c:\windows\system32\tpsmain.exe - OK
[Scanpfad] c:\windows\system32\trkwks.dll
c:\windows\system32\trkwks.dll - OK
[Scanpfad] c:\windows\system32\twext.dll
c:\windows\system32\twext.dll - OK
[Scanpfad] c:\windows\system32\umpnpmgr.dll
c:\windows\system32\umpnpmgr.dll - OK
[Scanpfad] c:\windows\system32\upnphost.dll
c:\windows\system32\upnphost.dll - OK
[Scanpfad] c:\windows\system32\ups.exe
c:\windows\system32\ups.exe - OK
[Scanpfad] c:\windows\system32\url.dll
c:\windows\system32\url.dll - OK
[Scanpfad] c:\windows\system32\urlmon.dll
c:\windows\system32\urlmon.dll - OK
[Scanpfad] c:\windows\system32\usbmon.dll
c:\windows\system32\usbmon.dll - OK
[Scanpfad] c:\windows\system32\user32.dll
c:\windows\system32\user32.dll - OK
[Scanpfad] c:\windows\system32\userenv.dll
c:\windows\system32\userenv.dll - OK
[Scanpfad] c:\windows\system32\userinit.exe
c:\windows\system32\userinit.exe - OK
[Scanpfad] c:\windows\system32\uxtheme.dll
c:\windows\system32\uxtheme.dll - OK
[Scanpfad] c:\windows\system32\version.dll
c:\windows\system32\version.dll - OK
[Scanpfad] c:\windows\system32\vssapi.dll
c:\windows\system32\vssapi.dll - OK
[Scanpfad] c:\windows\system32\vssvc.exe
c:\windows\system32\vssvc.exe - OK
[Scanpfad] c:\windows\system32\w32time.dll
c:\windows\system32\w32time.dll - OK
[Scanpfad] c:\windows\system32\w3ssl.dll
c:\windows\system32\w3ssl.dll - OK
[Scanpfad] c:\windows\system32\wbem\esscli.dll
c:\windows\system32\wbem\esscli.dll - OK
[Scanpfad] c:\windows\system32\wbem\fastprox.dll
c:\windows\system32\wbem\fastprox.dll - OK
[Scanpfad] c:\windows\system32\wbem\repdrvfs.dll
c:\windows\system32\wbem\repdrvfs.dll - OK
[Scanpfad] c:\windows\system32\wbem\wbemcomn.dll
c:\windows\system32\wbem\wbemcomn.dll - OK
[Scanpfad] c:\windows\system32\wbem\wbemcore.dll
c:\windows\system32\wbem\wbemcore.dll - OK
[Scanpfad] c:\windows\system32\wbem\wbemess.dll
c:\windows\system32\wbem\wbemess.dll - OK
[Scanpfad] c:\windows\system32\wbem\winmgmt.exe
c:\windows\system32\wbem\winmgmt.exe - OK
[Scanpfad] c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wbem\wmiapsrv.exe - OK
[Scanpfad] c:\windows\system32\wbem\wmiprvsd.dll
c:\windows\system32\wbem\wmiprvsd.dll - OK
[Scanpfad] c:\windows\system32\wbem\wmisvc.dll
c:\windows\system32\wbem\wmisvc.dll - OK
[Scanpfad] c:\windows\system32\wbem\wmiutils.dll
c:\windows\system32\wbem\wmiutils.dll - OK
[Scanpfad] c:\windows\system32\wdigest.dll
c:\windows\system32\wdigest.dll - OK
[Scanpfad] c:\windows\system32\webcheck.dll
c:\windows\system32\webcheck.dll - OK
[Scanpfad] c:\windows\system32\webclnt.dll
c:\windows\system32\webclnt.dll - OK
[Scanpfad] c:\windows\system32\wiascr.dll
c:\windows\system32\wiascr.dll - OK
[Scanpfad] c:\windows\system32\wiaservc.dll
c:\windows\system32\wiaservc.dll - OK
[Scanpfad] c:\windows\system32\wiashext.dll
c:\windows\system32\wiashext.dll - OK
[Scanpfad] c:\windows\system32\wininet.dll
c:\windows\system32\wininet.dll - OK
[Scanpfad] c:\windows\system32\winlogon.exe
c:\windows\system32\winlogon.exe - OK
[Scanpfad] c:\windows\system32\winmm.dll
c:\windows\system32\winmm.dll - OK
[Scanpfad] c:\windows\system32\winrnr.dll
c:\windows\system32\winrnr.dll - OK
[Scanpfad] c:\windows\system32\winscard.dll
c:\windows\system32\winscard.dll - OK
[Scanpfad] c:\windows\system32\winspool.drv
c:\windows\system32\winspool.drv - OK
[Scanpfad] c:\windows\system32\winsrv.dll
c:\windows\system32\winsrv.dll - OK
[Scanpfad] c:\windows\system32\winsta.dll
c:\windows\system32\winsta.dll gepackt von FLY-CODE
>c:\windows\system32\winsta.dll - OK
[Scanpfad] c:\windows\system32\wintrust.dll
c:\windows\system32\wintrust.dll - OK
[Scanpfad] c:\windows\system32\wkssvc.dll
c:\windows\system32\wkssvc.dll - OK
[Scanpfad] c:\windows\system32\wldap32.dll
c:\windows\system32\wldap32.dll - OK
[Scanpfad] c:\windows\system32\wlnotify.dll
c:\windows\system32\wlnotify.dll - OK
[Scanpfad] c:\windows\system32\wmpshell.dll
c:\windows\system32\wmpshell.dll - OK
[Scanpfad] c:\windows\system32\wpdshext.dll
c:\windows\system32\wpdshext.dll - OK
[Scanpfad] c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\wpdshserviceobj.dll - OK
[Scanpfad] c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2_32.dll - OK
[Scanpfad] c:\windows\system32\ws2help.dll
c:\windows\system32\ws2help.dll - OK
[Scanpfad] c:\windows\system32\wscsvc.dll
c:\windows\system32\wscsvc.dll - OK
[Scanpfad] c:\windows\system32\wshext.dll
c:\windows\system32\wshext.dll - OK
[Scanpfad] c:\windows\system32\wshtcpip.dll
c:\windows\system32\wshtcpip.dll - OK
[Scanpfad] c:\windows\system32\wsock32.dll
c:\windows\system32\wsock32.dll - OK
[Scanpfad] c:\windows\system32\wtsapi32.dll
c:\windows\system32\wtsapi32.dll - OK
[Scanpfad] c:\windows\system32\wuaucpl.cpl
c:\windows\system32\wuaucpl.cpl - OK
[Scanpfad] c:\windows\system32\wuauserv.dll
c:\windows\system32\wuauserv.dll - OK
[Scanpfad] c:\windows\system32\wudfsvc.dll
c:\windows\system32\wudfsvc.dll gepackt von PESTUB
>c:\windows\system32\wudfsvc.dll - OK
[Scanpfad] c:\windows\system32\wzcsvc.dll
c:\windows\system32\wzcsvc.dll - OK
[Scanpfad] c:\windows\system32\xmlprov.dll
c:\windows\system32\xmlprov.dll - OK
[Scanpfad] c:\windows\system32\xpsp2res.dll
c:\windows\system32\xpsp2res.dll - OK
[Scanpfad] c:\windows\system32\zipfldr.dll
c:\windows\system32\zipfldr.dll - OK
[Scanpfad] c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll
c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll - OK
[Scanpfad] c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll
c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll - OK
[Scanpfad] c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll - OK
[Scanpfad] d:\tmp\hgu8ynfx.dll
d:\tmp\hgu8ynfx.dll gepackt von ASPACK
>d:\tmp\hgu8ynfx.dll - OK
[Scanpfad] d:\tmp\rarsfx0\_start.exe
d:\tmp\rarsfx0\_start.exe - OK
[Scanpfad] d:\tmp\rarsfx0\setup.exe
d:\tmp\rarsfx0\setup.exe - Archiv BINARYRES
>d:\tmp\rarsfx0\setup.exe/data001 gepackt von ASPACK
>>d:\tmp\rarsfx0\setup.exe/data001 - OK
>d:\tmp\rarsfx0\setup.exe/data002 - OK
>d:\tmp\rarsfx0\setup.exe/data003 - OK
d:\tmp\rarsfx0\setup.exe - OK
|
|
08.04.2009, 14:26
| #15 |
| | Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Teil 4 Code:
ATTFilter [Scanpfad] e:\dateien\_\download\launch.exe
e:\dateien\_\download\launch.exe - Archiv ZIP
>e:\dateien\_\download\launch.exe/be-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/bg-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/cn-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/cs-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/de-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/dwebio16.dll - OK
>e:\dateien\_\download\launch.exe/dwebio32.dll gepackt von ASPACK
>>e:\dateien\_\download\launch.exe/dwebio32.dll - OK
>e:\dateien\_\download\launch.exe/el-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/en-drwebgui.chm - Archiv CHM
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#IDXHDR - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#ITBITS - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#IVB - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#STRINGS - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#SYSTEM - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#TOPICS - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#URLSTR - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#URLTBL - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#WINDOWS - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$FIftiMain - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$OBJINST - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/BTree - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/Data - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/Map - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/Property - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWKeywordLinks/Property - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/bull.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/butpause2.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/butstart1.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/butstop3.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/com_params.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/CSHelp.txt - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/default.css - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/en-drwebgui.hhc - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/en-drwebgui_popup_text.js - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/helpman_topicinit.js - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_aboutbox.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_curesettings.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_main.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_scan.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_scan_path.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_stat.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_actions.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_common.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_log.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_scan.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_types.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/intro.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/legal.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/open.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/ph_adv.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc01.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc02.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc03.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_action.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_action_adv.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_drweb_logo.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_general.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_inf.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_log.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_path_mask.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_scan.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_stat.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_types.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/scan_params.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/scan_settings.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/scanning.htm - OK
>e:\dateien\_\download\launch.exe/en-drwebgui.chm - OK
>e:\dateien\_\download\launch.exe/eo-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/es-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/et-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/fr-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/hu-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/it-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/ja-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/ko-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/lt-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/lv-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/nl-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/no-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/pl-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/pt-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/ru-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/ru-drwebgui.chm - Archiv CHM
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#IDXHDR - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#ITBITS - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#IVB - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#STRINGS - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#SYSTEM - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#TOPICS - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#URLSTR - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#URLTBL - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#WINDOWS - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$FIftiMain - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$OBJINST - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/BTree - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/Data - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/Map - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/Property - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWKeywordLinks/Property - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/bull.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/butpause.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/butstart.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/butstop.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/com_params.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/CSHelp.txt - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/default.css - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/helpman_topicinit.js - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_aboutbox.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_curesettings.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_main.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_scan.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_scan_path.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_stat.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_actions.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_common.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_log.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_scan.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_types.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/intro.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/open.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/ph_adv.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/ru-drwebgui.hhc - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/ru-drwebgui_popup_text.js - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc01.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc02.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc03.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_action.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_action_adv.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_drweb_logo.zoom76.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_general.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_inf.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_log.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_path_mask.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_scan.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_stat.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_types.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/scan_params.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/scan_settings.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/scanning.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/topic.htm - OK
>e:\dateien\_\download\launch.exe/ru-drwebgui.chm - OK
>e:\dateien\_\download\launch.exe/setup.dll - Archiv BINARYRES
>>e:\dateien\_\download\launch.exe/setup.dll/data001 - OK
>e:\dateien\_\download\launch.exe/setup.dll - OK
>e:\dateien\_\download\launch.exe/setup.exe - Archiv BINARYRES
>>e:\dateien\_\download\launch.exe/setup.exe/data001 gepackt von ASPACK
>>>e:\dateien\_\download\launch.exe/setup.exe/data001 - OK
>>e:\dateien\_\download\launch.exe/setup.exe/data002 - OK
>>e:\dateien\_\download\launch.exe/setup.exe/data003 - OK
|
|
| Themen zu Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 |
| .com, 0xc0000034, 1.exe, analysis, bluescree, controlset002, dns-server, encrypt, failed, file, infected, logfile, löschen, malwarebytes' anti-malware, neustart, norman, object, problem, programme, realtek, registrierungsschlüssel, registry, registry key, rootkit, rthdcpl.exe, scan, security, security suite, starten, system, system volume information, trick, trojaner, viren, windows, windows xp, windows-update, zwei trojaner |
Linear-Darstellung
