|
Plagegeister aller Art und deren Bekämpfung: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.04.2009, 03:29 | #1 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Hallo liebe Forumsmitglieder! Ich wende mich an Euch, weil mein Problem vertrackt zu sein scheint und ich etwas den Überblick verloren habe, was ich noch machen muss, um mein System wieder sauber hinzubekommen - und ob ich das überhaupt kann oder ob ihr mir ratet, das System platt zu machen. Vielen Dank erst einmal, dass Ihr hier so tolle Hilfe leistet! Ich habe mich schon durch die Anleitungen und einige Threads (mein Problem ähnelt wohl dem Thread browser-spinnen-nach-2-trojaner) gelesen, um mein Problem zu lösen - allerdings: mit jedem gelöschten Trojaner kamen zwei neue. Also, ich beginne erst einmal, das Problem zu beschreiben und berichte dann, welche Schritte ich alles schon unternommen habe (ich verwende Windows XP Professional Service Pack 3). Begonnen hat es mit einer Datei, die ich ausgeführt habe, im Glauben, es wäre eine sichere Datei. Daraufhin meldete sich die Norman Security Suite, er habe zwei Trojaner entdeckt und in Quarantäne gesteckt. Dann begannen aber die eigentlichen Probleme. Sofort ging es mit Autorun.inf Meldungen los - dabei hatte ich eigentlich noch einige Tage vorher die Autorun-Funktion auf allen Laufwerken deaktiviert (und vorher noch das Windows-Update heruntergeladen, das die ordnungsgemäße Deaktivierung der Funktion gewährleisten soll). Ich schreib mal auf, was die Norman Security Suite alles gefunden hat: Code:
ATTFilter Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***. Infected file E:\Recycled\NPROTECT\00001102.inf Quarantined file E:\Recycled\NPROTECT\00001102.inf Deleted file E:\Recycled\NPROTECT\00001102.inf Removed Trojan BAT/AutoRun.IWK. File deleted. Virus W32/Malware [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * File length: 28160 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYST Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file E:\Recycled\NPROTECT\00001101.EXE Quarantined file E:\Recycled\NPROTECT\00001101.EXE Deleted file E:\Recycled\NPROTECT\00001101.EXE Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file F:\autorun.inf Quarantined file F:\autorun.inf Deleted file F:\autorun.inf Removed Trojan BAT/AutoRun.IWK. File deleted. Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\autorun.inf Quarantined file C:\autorun.inf Deleted file C:\autorun.inf Removed Trojan BAT/AutoRun.IWK. File deleted. Trojan Malware.EKER Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\Recycled\NPROTECT\00087431.EXE Quarantined file C:\Recycled\NPROTECT\00087431.EXE Deleted file C:\Recycled\NPROTECT\00087431.EXE Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\Recycled\NPROTECT\00087498.inf Quarantined file C:\Recycled\NPROTECT\00087498.inf Deleted file C:\Recycled\NPROTECT\00087498.inf Removed Trojan BAT/AutoRun.IWK. File deleted. Also, Autoruneater geladen und gestartet, hat auch brav noch zwei gefunden. Dann habe ich, weil ich das hier irgendwo gelesen hatte, mit Shift + Entf die Dateien in den recycled-Ordner auf den verschiedensten Platten bzw. Partitionen zu löschen, anfangs mit mäßigem Erfolg, weil immer Zugriffskonflikte gemeldet wurden. Schließlich ist es mir aber doch gelungen. Dann habe ich über den Ausführen-Befehl msconfig gestartet und ipconfig /flushdns ausgeführt, um die DNS-Server wieder zu löschen. Ich weiss nicht mehr, ob die dabei gelöscht wurden, oder ob das vorher schon der Malwarebytes' Anti-Malware gemacht hatte, aber da waren auf jeden Fall welche eingestellt! Sobald die Autorun.inf-Dateien eliminiert waren, meldeten sich im Systemtray rechts nacheinander drei Programme, die Autorun-Datei wäre defekt, ich solle irgendwas (CHDMX? Es war eine Buchstabenkombination, die ich mir nicht merken konnte, bei den ganzen 1000 Fehlermeldungen) ausführen. Zunächst billy.exe - offensichtlich Teil des Viruses. Dann später noch RTHDCPL.exe und dann ALCMTR.exe. Laut Filenet sind das Dateien, die vom Realtek Soundsystem verwendet werden, die aber auch von Viren befallen sein können, vor allem, wenn sie im System-Ordner oder im Windows-Ordner seien. Daraufhin wollte ich schauen, wo die Dateien sich befinden - aber siehe da, der oder die Trojaner hatten meine Windows-Suche außer Funktion gesetzt, sofort gab's einen Bluescreen. So, dann habe ich Malwarebytes' Anti-Malware starten wollen - ging aber nicht. Dann hab ich den Trick mit dem Umbenennen angewandt (von exe auf com), das klappte dann wunderbar. Hier die Logliste: Code:
ATTFilter Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1904 Windows 5.1.2600 Service Pack 3 05.04.2009 07:53:33 mbam-log-2009-04-05 (07-53-33).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|) Durchsuchte Objekte: 146564 Laufzeit: 13 minute(s), 42 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 20 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\autorun.inf (Worm.Agent.H) -> Delete on reboot. C:\RECYCLER\S-8-0-42-100030408-100022070-100017761-1921.com (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully. Code:
ATTFilter Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1904 Windows 5.1.2600 Service Pack 3 05.04.2009 08:30:56 mbam-log-2009-04-05 (08-30-56).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|) Durchsuchte Objekte: 146644 Laufzeit: 13 minute(s), 15 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully. Daraufhin habe ich Avenger gestartet. Siehe da, er hat einen Rootkit gefunden. Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "gaopdxserv.sys" found! ImagePath: \systemroot\system32\drivers\gaopdxaeoitkmnkenfbgdndquaftsoqdxltjlk.sys Driver disabled successfully. Rootkit scan completed. Completed script processing. ******************* Finished! Terminate. Dann noch mal gestartet, und mit etwas Übung dann versucht, Treiber und Dateien zu löschen. Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\A0075392.sys" not found! Deletion of driver "A0075392.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver "gaopdxserv.sys" deleted successfully. Error: could not open file "C:\System Volume Information\_restore{49A5E9B2-2D9B-419B-B076-ECC3C59F7336}\RP222\A0075392.sys" Deletion of file "C:\System Volume Information\_restore{49A5E9B2-2D9B-419B-B076-ECC3C59F7336}\RP222\A0075392.sys" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. |
07.04.2009, 04:14 | #2 |
| Fortsetzung: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ So, nachdem ich mir nicht sicher war, ob der Avanger alles gefunden hat bzw. ob dadurch Folgeprobleme aufgetaucht sind, hab ich noch mal MBAM gestartet.
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1904 Windows 5.1.2600 Service Pack 3 05.04.2009 14:11:40 mbam-log-2009-04-05 (14-11-40).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 115941 Laufzeit: 20 minute(s), 21 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: E:\download\avenger.exe (Malware.Tool) -> Not selected for removal. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: E:\download\avenger.exe (Malware.Tool) -> Not selected for removal. C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully. Dann noch einmal: Code:
ATTFilter Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1904 Windows 5.1.2600 Service Pack 3 05.04.2009 15:56:11 mbam-log-2009-04-05 (15-56-11).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 113591 Laufzeit: 18 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Recycled\NPROTECT\00000150.exe (Adware.Cinmus) -> Quarantined and deleted successfully. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:27:07, on 05.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Norman\Npm\Bin\Elogsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norman\Npm\Bin\Zanda.exe C:\Programme\Norman\npm\bin\nvoy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\Programme\Speed Disk\nopdb.exe C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Norman\Npm\bin\NVCSCHED.EXE C:\Programme\Norman\Npm\bin\NJEEVES.EXE C:\Programme\Norman\npc\bin\npcsvc32.exe C:\WINDOWS\system32\TPSBattM.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Atheros\ACU.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Norman\nse\bin\NSESVC.EXE C:\Programme\Norman\npc\bin\nuaa.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Norman\Npm\Bin\ZLH.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\Programme\Rainlendar2\Rainlendar2.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE C:\Programme\Norman\Nvc\bin\nvcoas.exe C:\Programme\Norman\Nvc\Bin\Nip.exe C:\Programme\Norman\Nvc\Bin\cclaw.exe C:\WINDOWS\system32\wuauclt.exe E:\download\avenger.exe C:\WINDOWS\system32\NOTEPAD.EXE E:\download\HiJackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [TFncKy] C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe O4 - HKLM\..\Run: [NDSTray.exe] C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH O4 - HKLM\..\Run: [NPCTray] C:\Programme\Norman\npc\bin\npc_tray.exe /LOAD O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\Bin\Elogsvc.exe O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Parental Control (NPC) - Norman ASA - C:\Programme\Norman\npc\bin\npcsvc32.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\nse\bin\NSESVC.EXE O23 - Service: Norman User Activity Agent (NUAA) - Norman ASA - C:\Programme\Norman\npc\bin\nuaa.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Programme\Norman\Npm\bin\NVCSCHED.EXE O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Programme\Norman\npm\bin\nvoy.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe -- End of file - 7201 bytes Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
07.04.2009, 04:15 | #3 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Catch Me log:
__________________Code:
ATTFilter catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... C:\Recycled\NPROTECT C:\Recycled\NPROTECT\NPROTECT.LOG 647168 bytes C:\Recycled\NPROTECT\00000000.INI 16384 bytes C:\Recycled\NPROTECT\00000002.INI 16384 bytes C:\Recycled\NPROTECT\00000003.INI 16384 bytes C:\Recycled\NPROTECT\00000004.INI 16384 bytes C:\Recycled\NPROTECT\00000007.edb 1056768 bytes C:\Recycled\NPROTECT\00000024.JOB 8192 bytes C:\Recycled\NPROTECT\00000025.niu 8192 bytes C:\Recycled\NPROTECT\00000026.edb 65536 bytes C:\Recycled\NPROTECT\00000029 8192 bytes C:\Recycled\NPROTECT\00000030 8192 bytes C:\Recycled\NPROTECT\00000043 8192 bytes C:\Recycled\NPROTECT\00000044 8192 bytes C:\Recycled\NPROTECT\00000048.PF 24576 bytes C:\Recycled\NPROTECT\00000049.INI 16384 bytes C:\Recycled\NPROTECT\00000053.INI 16384 bytes C:\Recycled\NPROTECT\00000054.INI 16384 bytes C:\Recycled\NPROTECT\00000055.INI 16384 bytes C:\Recycled\NPROTECT\00000062.edb 1056768 bytes C:\Recycled\NPROTECT\00000069.JOB 8192 bytes C:\Recycled\NPROTECT\00000076.edb 65536 bytes C:\Recycled\NPROTECT\00000090.edb 65536 bytes C:\Recycled\NPROTECT\00000095 8192 bytes C:\Recycled\NPROTECT\00000096 8192 bytes C:\Recycled\NPROTECT\00000103.niu 8192 bytes C:\Recycled\NPROTECT\00000107.CAB 24576 bytes C:\Recycled\NPROTECT\00000114.edb 65536 bytes C:\Recycled\NPROTECT\00000117.ORI 32768 bytes C:\Recycled\NPROTECT\00000118.TXT 8192 bytes C:\Recycled\NPROTECT\00000121.sol 8192 bytes C:\Recycled\NPROTECT\00000122.sol 8192 bytes C:\Recycled\NPROTECT\00000123.sol 8192 bytes C:\Recycled\NPROTECT\00000124.sol 8192 bytes C:\Recycled\NPROTECT\00000125.sol 8192 bytes C:\Recycled\NPROTECT\00000126.sol 8192 bytes C:\Recycled\NPROTECT\00000127.sol 8192 bytes C:\Recycled\NPROTECT\00000128.sol 8192 bytes C:\Recycled\NPROTECT\00000129.sol 8192 bytes C:\Recycled\NPROTECT\00000130.sol 8192 bytes C:\Recycled\NPROTECT\00000131.sol 8192 bytes C:\Recycled\NPROTECT\00000132.sol 8192 bytes C:\Recycled\NPROTECT\00000133.sol 8192 bytes C:\Recycled\NPROTECT\00000134.sol 8192 bytes C:\Recycled\NPROTECT\00000135.sol 8192 bytes C:\Recycled\NPROTECT\00000136.sol 8192 bytes C:\Recycled\NPROTECT\00000137.sol 8192 bytes C:\Recycled\NPROTECT\00000138.sol 8192 bytes C:\Recycled\NPROTECT\00000139.sol 8192 bytes C:\Recycled\NPROTECT\00000140.sol 8192 bytes C:\Recycled\NPROTECT\00000141.sol 8192 bytes C:\Recycled\NPROTECT\00000142.sol 8192 bytes C:\Recycled\NPROTECT\00000143.sol 8192 bytes C:\Recycled\NPROTECT\00000144.SOL 8192 bytes C:\Recycled\NPROTECT\00000146.bat 8192 bytes C:\Recycled\NPROTECT\00000148.txt 8192 bytes C:\Recycled\NPROTECT\00000149.exe 139264 bytes C:\Recycled\NPROTECT\00000212 8192 bytes C:\Recycled\NPROTECT\00000151.bat 8192 bytes C:\Recycled\NPROTECT\00000153.INI 16384 bytes C:\Recycled\NPROTECT\00000156.INI 16384 bytes C:\Recycled\NPROTECT\00000157.INI 16384 bytes C:\Recycled\NPROTECT\00000158.INI 16384 bytes C:\Recycled\NPROTECT\00000183.PF 172032 bytes C:\Recycled\NPROTECT\00000184.PF 8192 bytes C:\Recycled\NPROTECT\00000191.PF 40960 bytes C:\Recycled\NPROTECT\00000203.JOB 8192 bytes C:\Recycled\NPROTECT\00000204.edb 1056768 bytes C:\Recycled\NPROTECT\00000205.edb 65536 bytes C:\Recycled\NPROTECT\00000206 8192 bytes C:\Recycled\NPROTECT\00000207 8192 bytes C:\Recycled\NPROTECT\00000277 40960 bytes C:\Recycled\NPROTECT\00000214.txt 8192 bytes C:\Recycled\NPROTECT\00000215.zip 8192 bytes C:\Recycled\NPROTECT\00000216 8192 bytes C:\Recycled\NPROTECT\00000218.INI 16384 bytes C:\Recycled\NPROTECT\00000220.INI 16384 bytes C:\Recycled\NPROTECT\00000221.INI 16384 bytes C:\Recycled\NPROTECT\00000222.INI 16384 bytes C:\Recycled\NPROTECT\00000225.edb 1056768 bytes C:\Recycled\NPROTECT\00000246.JOB 8192 bytes C:\Recycled\NPROTECT\00000250.rbs 16384 bytes C:\Recycled\NPROTECT\00000251.ipi 8192 bytes C:\Recycled\NPROTECT\00000252.msi 6184960 bytes C:\Recycled\NPROTECT\00000261.edb 65536 bytes C:\Recycled\NPROTECT\00000263.PF 65536 bytes C:\Recycled\NPROTECT\00000265.THE 8192 bytes C:\Recycled\NPROTECT\00000268 8192 bytes C:\Recycled\NPROTECT\00000269 8192 bytes C:\Recycled\NPROTECT\00000278 8192 bytes C:\Recycled\NPROTECT\00000279 8192 bytes C:\Recycled\NPROTECT\00000280 8192 bytes C:\Recycled\NPROTECT\00000281 8192 bytes C:\Recycled\NPROTECT\00000282 8192 bytes C:\Recycled\NPROTECT\00000283.db 8192 bytes C:\Recycled\NPROTECT\00000284.SYS 40960 bytes C:\Recycled\NPROTECT\00000288.ndf 65536 bytes C:\Recycled\NPROTECT\00000289.ndf 65536 bytes C:\Recycled\NPROTECT\00000290.db 8192 bytes C:\Recycled\NPROTECT\00000291 8192 bytes C:\Recycled\NPROTECT\00000292 8192 bytes C:\Recycled\NPROTECT\00000293 8192 bytes C:\Recycled\NPROTECT\00000294 8192 bytes C:\Recycled\NPROTECT\00000295 8192 bytes C:\Recycled\NPROTECT\00000296 40960 bytes C:\Recycled\NPROTECT\00000298.SBU 40960 bytes C:\Recycled\NPROTECT\00000299.db 8192 bytes C:\Recycled\NPROTECT\00000300.DSC 8192 bytes C:\Recycled\NPROTECT\00000301.db 8192 bytes C:\Recycled\NPROTECT\00000302.SBU 8192 bytes C:\Recycled\NPROTECT\00000308.ini 8192 bytes C:\Recycled\NPROTECT\00000309.ini 8192 bytes C:\Recycled\NPROTECT\00000310.SOL 8192 bytes C:\Recycled\NPROTECT\00000311.SOL 8192 bytes C:\Recycled\NPROTECT\00000312.sol 8192 bytes C:\Recycled\NPROTECT\00000313.sol 8192 bytes C:\Recycled\NPROTECT\00000314.sol 8192 bytes C:\Recycled\NPROTECT\00000318.log 8192 bytes C:\Recycled\NPROTECT\00000322.log 8192 bytes C:\Recycled\NPROTECT\00000326.LOG 8192 bytes C:\Recycled\NPROTECT\00000330.log 8192 bytes C:\Recycled\NPROTECT\00000331 8192 bytes C:\Recycled\NPROTECT\00000333.GID 114688 bytes C:\Recycled\NPROTECT\00000334.GID 147456 bytes C:\Recycled\NPROTECT\00000335.~TH 8192 bytes C:\Recycled\NPROTECT\00000336.~AN 8192 bytes C:\Recycled\NPROTECT\00000337.WAB 180224 bytes C:\Recycled\NPROTECT\00000338.GID 16384 bytes C:\Recycled\NPROTECT\00000339.GID 16384 bytes C:\Recycled\NPROTECT\00000340.GID 16384 bytes C:\Recycled\NPROTECT\00000341.GID 16384 bytes C:\Recycled\NPROTECT\00000342.PRV 8192 bytes C:\Recycled\NPROTECT\00000343.SYD 811008 bytes C:\Recycled\NPROTECT\00000344.SYD 1933312 bytes C:\Recycled\NPROTECT\00000345.DB 8192 bytes C:\Recycled\NPROTECT\00000346.DB 24576 bytes C:\Recycled\NPROTECT\00000347.DB 8192 bytes C:\Recycled\NPROTECT\00000348.DB 8192 bytes C:\Recycled\NPROTECT\00000349.DB 8192 bytes C:\Recycled\NPROTECT\00000350.DB 8192 bytes C:\Recycled\NPROTECT\00000351.DB 8192 bytes C:\Recycled\NPROTECT\00000352.DB 8192 bytes C:\Recycled\NPROTECT\00000353.DB 8192 bytes C:\Recycled\NPROTECT\00000354.DB 8192 bytes C:\Recycled\NPROTECT\00000355.DB 8192 bytes C:\Recycled\NPROTECT\00000356.DB 8192 bytes C:\Recycled\NPROTECT\00000357.DB 8192 bytes C:\Recycled\NPROTECT\00000358.DB 8192 bytes C:\Recycled\NPROTECT\00000359.DB 8192 bytes C:\Recycled\NPROTECT\00000360.DB 8192 bytes C:\Recycled\NPROTECT\00000361.DB 16384 bytes C:\Recycled\NPROTECT\00000362.DB 8192 bytes C:\Recycled\NPROTECT\00000363.DB 8192 bytes C:\Recycled\NPROTECT\00000364.DB 8192 bytes C:\Recycled\NPROTECT\00000365.DB 8192 bytes C:\Recycled\NPROTECT\00000366.DB 8192 bytes C:\Recycled\NPROTECT\00000367.DB 16384 bytes C:\Recycled\NPROTECT\00000368.DB 8192 bytes C:\Recycled\NPROTECT\00000369.DB 8192 bytes C:\Recycled\NPROTECT\00000370.DB 8192 bytes C:\Recycled\NPROTECT\00000371.DB 8192 bytes C:\Recycled\NPROTECT\00000372.DB 8192 bytes C:\Recycled\NPROTECT\00000373.DB 8192 bytes C:\Recycled\NPROTECT\00000374.DB 8192 bytes C:\Recycled\NPROTECT\00000375.DB 155648 bytes C:\Recycled\NPROTECT\00000376.DB 24576 bytes C:\Recycled\NPROTECT\00000377.DB 32768 bytes C:\Recycled\NPROTECT\00000378.DB 8192 bytes C:\Recycled\NPROTECT\00000379.DB 8192 bytes C:\Recycled\NPROTECT\00000380.DB 376832 bytes C:\Recycled\NPROTECT\00000381.DB 32768 bytes C:\Recycled\NPROTECT\00000382.DB 139264 bytes C:\Recycled\NPROTECT\00000383.DB 57344 bytes C:\Recycled\NPROTECT\00000384.DB 32768 bytes C:\Recycled\NPROTECT\00000385.DB 106496 bytes C:\Recycled\NPROTECT\00000386.DB 16384 bytes C:\Recycled\NPROTECT\00000387.DB 40960 bytes C:\Recycled\NPROTECT\00000388.DB 16384 bytes C:\Recycled\NPROTECT\00000389.DB 40960 bytes C:\Recycled\NPROTECT\00000390.DB 8192 bytes C:\Recycled\NPROTECT\00000391.DB 24576 bytes C:\Recycled\NPROTECT\00000392.DB 16384 bytes C:\Recycled\NPROTECT\00000393.DB 8192 bytes C:\Recycled\NPROTECT\00000394.DB 24576 bytes C:\Recycled\NPROTECT\00000395.DB 57344 bytes C:\Recycled\NPROTECT\00000396.DB 98304 bytes C:\Recycled\NPROTECT\00000397.DB 278528 bytes C:\Recycled\NPROTECT\00000398.DB 16384 bytes C:\Recycled\NPROTECT\00000399.DB 114688 bytes C:\Recycled\NPROTECT\00000400.DB 65536 bytes C:\Recycled\NPROTECT\00000401.DB 548864 bytes C:\Recycled\NPROTECT\00000402.DB 65536 bytes C:\Recycled\NPROTECT\00000403.DB 49152 bytes C:\Recycled\NPROTECT\00000404.DB 57344 bytes C:\Recycled\NPROTECT\00000405.DB 49152 bytes C:\Recycled\NPROTECT\00000406.DB 8192 bytes C:\Recycled\NPROTECT\00000407.DB 122880 bytes C:\Recycled\NPROTECT\00000408.DB 8192 bytes C:\Recycled\NPROTECT\00000409.DB 16384 bytes C:\Recycled\NPROTECT\00000410.DB 8192 bytes C:\Recycled\NPROTECT\00000411.DB 16384 bytes C:\Recycled\NPROTECT\00000412.DB 8192 bytes C:\Recycled\NPROTECT\00000413.DB 106496 bytes C:\Recycled\NPROTECT\00000414.DB 16384 bytes C:\Recycled\NPROTECT\00000415.DB 16384 bytes C:\Recycled\NPROTECT\00000416.DB 65536 bytes C:\Recycled\NPROTECT\00000417.DB 65536 bytes C:\Recycled\NPROTECT\00000418.DB 65536 bytes C:\Recycled\NPROTECT\00000419.DB 65536 bytes C:\Recycled\NPROTECT\00000420.DB 65536 bytes C:\Recycled\NPROTECT\00000421.DB 65536 bytes C:\Recycled\NPROTECT\00000422.DB 65536 bytes C:\Recycled\NPROTECT\00000423.DB 65536 bytes C:\Recycled\NPROTECT\00000424.DB 65536 bytes C:\Recycled\NPROTECT\00000425.DB 65536 bytes C:\Recycled\NPROTECT\00000426.DB 65536 bytes C:\Recycled\NPROTECT\00000427.DB 65536 bytes C:\Recycled\NPROTECT\00000428.DB 65536 bytes C:\Recycled\NPROTECT\00000429.DB 65536 bytes C:\Recycled\NPROTECT\00000430.DB 65536 bytes C:\Recycled\NPROTECT\00000431.DB 32768 bytes C:\Recycled\NPROTECT\00000432.DB 32768 bytes C:\Recycled\NPROTECT\00000433.DB 32768 bytes C:\Recycled\NPROTECT\00000434.DB 40960 bytes C:\Recycled\NPROTECT\00000435.DB 24576 bytes C:\Recycled\NPROTECT\00000436.DB 24576 bytes C:\Recycled\NPROTECT\00000437.DB 16384 bytes C:\Recycled\NPROTECT\00000438.DB 32768 bytes C:\Recycled\NPROTECT\00000439.DB 32768 bytes C:\Recycled\NPROTECT\00000440.DB 16384 bytes C:\Recycled\NPROTECT\00000441.DB 24576 bytes C:\Recycled\NPROTECT\00000442.DB 32768 bytes C:\Recycled\NPROTECT\00000443.DB 24576 bytes C:\Recycled\NPROTECT\00000444.DB 40960 bytes C:\Recycled\NPROTECT\00000445.chk 8192 bytes C:\Recycled\NPROTECT\00000446.chk 8192 bytes C:\Recycled\NPROTECT\00000447.chk 8192 bytes C:\Recycled\NPROTECT\00000448.chk 8192 bytes C:\Recycled\NPROTECT\00000449.chk 8192 bytes C:\Recycled\NPROTECT\00000450.dmp 8192 bytes C:\Recycled\NPROTECT\00000451.dmp 8192 bytes C:\Recycled\NPROTECT\00000452.chk 8192 bytes C:\Recycled\NPROTECT\00000453.chk 8192 bytes C:\Recycled\NPROTECT\00000454.WBK 32768 bytes C:\Recycled\NPROTECT\00000455.STA 8192 bytes C:\Recycled\NPROTECT\00000456.STA 8192 bytes C:\Recycled\NPROTECT\00000457.PSM 8192 bytes C:\Recycled\NPROTECT\00000458.exe 770048 bytes C:\Recycled\NPROTECT\00000459.dll 32768 bytes C:\Recycled\NPROTECT\00000460.dll 393216 bytes C:\Recycled\NPROTECT\00000461.dll 32768 bytes C:\Recycled\NPROTECT\00000462.INF 32768 bytes C:\Recycled\NPROTECT\00000463.INF 32768 bytes C:\Recycled\NPROTECT\00000464.INF 24576 bytes C:\Recycled\NPROTECT\00000465.INF 24576 bytes C:\Recycled\NPROTECT\00000466.inf 8192 bytes C:\Recycled\NPROTECT\00000467.inf 8192 bytes C:\Recycled\NPROTECT\00000468.url 8192 bytes C:\Recycled\NPROTECT\00000469.cat 16384 bytes C:\Recycled\NPROTECT\00000470.cat 16384 bytes C:\Recycled\NPROTECT\00000471.txt 8192 bytes C:\Recycled\NPROTECT\00000472.ver 8192 bytes C:\Recycled\NPROTECT\00000473.exe 237568 bytes C:\Recycled\NPROTECT\00000474.dll 24576 bytes C:\Recycled\NPROTECT\00000475.STA 8192 bytes C:\Recycled\NPROTECT\00000476.rq0 8192 bytes C:\Recycled\NPROTECT\00000477.sys 1851392 bytes C:\Recycled\NPROTECT\00000478.sys 1851392 bytes C:\Recycled\NPROTECT\00000479.STA 8192 bytes C:\Recycled\NPROTECT\00000480.STA 8192 bytes C:\Recycled\NPROTECT\00000481.PSM 8192 bytes C:\Recycled\NPROTECT\00000482.INF 32768 bytes C:\Recycled\NPROTECT\00000483.INF 32768 bytes C:\Recycled\NPROTECT\00000484.INF 24576 bytes C:\Recycled\NPROTECT\00000485.INF 24576 bytes C:\Recycled\NPROTECT\00000486.inf 8192 bytes C:\Recycled\NPROTECT\00000487.exe 770048 bytes C:\Recycled\NPROTECT\00000488.inf 8192 bytes C:\Recycled\NPROTECT\00000489.url 8192 bytes C:\Recycled\NPROTECT\00000490.dll 393216 bytes C:\Recycled\NPROTECT\00000491.dll 32768 bytes C:\Recycled\NPROTECT\00000492.cat 16384 bytes C:\Recycled\NPROTECT\00000493.txt 8192 bytes C:\Recycled\NPROTECT\00000494.ver 8192 bytes C:\Recycled\NPROTECT\00000495.exe 237568 bytes C:\Recycled\NPROTECT\00000496.dll 24576 bytes C:\Recycled\NPROTECT\00000497.STA 8192 bytes C:\Recycled\NPROTECT\00000498.rq0 8192 bytes C:\Recycled\NPROTECT\00000499.dll 147456 bytes C:\Recycled\NPROTECT\00000500.dll 147456 bytes C:\Recycled\NPROTECT\00000501.STA 8192 bytes C:\Recycled\NPROTECT\00000502.STA 8192 bytes C:\Recycled\NPROTECT\00000503.PSM 8192 bytes C:\Recycled\NPROTECT\00000504.exe 770048 bytes C:\Recycled\NPROTECT\00000505.INF 32768 bytes C:\Recycled\NPROTECT\00000506.INF 32768 bytes C:\Recycled\NPROTECT\00000507.INF 32768 bytes C:\Recycled\NPROTECT\00000508.INF 32768 bytes C:\Recycled\NPROTECT\00000509.inf 8192 bytes C:\Recycled\NPROTECT\00000510.inf 8192 bytes C:\Recycled\NPROTECT\00000511.url 8192 bytes C:\Recycled\NPROTECT\00000512.dll 393216 bytes C:\Recycled\NPROTECT\00000513.dll 32768 bytes C:\Recycled\NPROTECT\00000514.cat 16384 bytes C:\Recycled\NPROTECT\00000515.txt 8192 bytes C:\Recycled\NPROTECT\00000516.ver 8192 bytes C:\Recycled\NPROTECT\00000517.exe 237568 bytes C:\Recycled\NPROTECT\00000518.dll 24576 bytes C:\Recycled\NPROTECT\00000519.STA 8192 bytes C:\Recycled\NPROTECT\00000520.rq0 8192 bytes C:\Recycled\NPROTECT\00000521.dll 8503296 bytes C:\Recycled\NPROTECT\00000522.dll 8503296 bytes C:\Recycled\NPROTECT\00000528.INI 16384 bytes C:\Recycled\NPROTECT\00000530.INI 16384 bytes C:\Recycled\NPROTECT\00000532.INI 16384 bytes C:\Recycled\NPROTECT\00000533.INI 16384 bytes C:\Recycled\NPROTECT\00000534.THE 8192 bytes C:\Recycled\NPROTECT\00000548.JOB 8192 bytes C:\Recycled\NPROTECT\00000549.PF 450560 bytes C:\Recycled\NPROTECT\00000551.THE 8192 bytes C:\Recycled\NPROTECT\00000552.dat 16384 bytes C:\Recycled\NPROTECT\00000553.BMP 1998848 bytes C:\Recycled\NPROTECT\00000555.niu 8192 bytes C:\Recycled\NPROTECT\00000556.edb 65536 bytes C:\Recycled\NPROTECT\00000558 8192 bytes C:\Recycled\NPROTECT\00000559 8192 bytes C:\Recycled\NPROTECT\00000563.INI 16384 bytes C:\Recycled\NPROTECT\00000565.INI 16384 bytes C:\Recycled\NPROTECT\00000567.INI 16384 bytes C:\Recycled\NPROTECT\00000568.INI 16384 bytes C:\Recycled\NPROTECT\00000585.JOB 8192 bytes C:\Recycled\NPROTECT\00000586.edb 65536 bytes C:\Recycled\NPROTECT\00000587.niu 8192 bytes C:\Recycled\NPROTECT\00000589.INI 16384 bytes C:\Recycled\NPROTECT\00000591.INI 16384 bytes C:\Recycled\NPROTECT\00000593.INI 16384 bytes C:\Recycled\NPROTECT\00000594.INI 16384 bytes C:\Recycled\NPROTECT\00000611.JOB 8192 bytes C:\Recycled\NPROTECT\00000612.383 8192 bytes C:\Recycled\NPROTECT\00000613.400 24576 bytes C:\Recycled\NPROTECT\00000614.400 8192 bytes C:\Recycled\NPROTECT\00000615.487 8192 bytes C:\Recycled\NPROTECT\00000616.487 8192 bytes C:\Recycled\NPROTECT\00000617.141 8192 bytes C:\Recycled\NPROTECT\00000618.141 8192 bytes C:\Recycled\NPROTECT\00000619.161 8192 bytes C:\Recycled\NPROTECT\00000620.161 8192 bytes C:\Recycled\NPROTECT\00000621.964 8192 bytes C:\Recycled\NPROTECT\00000622.964 8192 bytes C:\Recycled\NPROTECT\00000623.218 8192 bytes C:\Recycled\NPROTECT\00000624.218 8192 bytes C:\Recycled\NPROTECT\00000625.734 8192 bytes C:\Recycled\NPROTECT\00000626.734 8192 bytes C:\Recycled\NPROTECT\00000627.801 24576 bytes C:\Recycled\NPROTECT\00000628.801 8192 bytes C:\Recycled\NPROTECT\00000629.edb 65536 bytes C:\Recycled\NPROTECT\00000630.ini 8192 bytes C:\Recycled\NPROTECT\00000631.ini 8192 bytes C:\Recycled\NPROTECT\00000632.txt 8192 bytes C:\Recycled\NPROTECT\00000633.DAT 8192 bytes C:\Recycled\NPROTECT\00000637.log 8192 bytes C:\Recycled\NPROTECT\00000641.log 8192 bytes C:\Recycled\NPROTECT\00000645.LOG 8192 bytes C:\Recycled\NPROTECT\00000649.log 8192 bytes C:\Recycled\NPROTECT\00000653.INI 16384 bytes C:\Recycled\NPROTECT\00000655.INI 16384 bytes C:\Recycled\NPROTECT\00000657.INI 16384 bytes C:\Recycled\NPROTECT\00000658.INI 16384 bytes C:\Recycled\NPROTECT\00000676.JOB 8192 bytes C:\Recycled\NPROTECT\00000677.niu 8192 bytes C:\Recycled\NPROTECT\00000679.edb 65536 bytes C:\Recycled\NPROTECT\00000681.ini 8192 bytes C:\Recycled\NPROTECT\00000682.ini 8192 bytes scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 373 Code:
ATTFilter 04/06/09 22:07:00 [Info]: BlackLight Engine 2.2.1092 initialized 04/06/09 22:07:00 [Info]: OS: 5.1 build 2600 (Service Pack 3) 04/06/09 22:07:00 [Note]: 7019 4 04/06/09 22:07:00 [Note]: 7005 0 04/06/09 22:07:10 [Note]: 7006 0 04/06/09 22:07:10 [Note]: 7011 724 04/06/09 22:07:10 [Note]: 7035 0 04/06/09 22:07:10 [Note]: 7026 0 04/06/09 22:07:10 [Note]: 7026 0 04/06/09 22:07:16 [Note]: FSRAW library version 1.7.1024 04/06/09 22:07:59 [Note]: 7007 0 Code:
ATTFilter SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 04/05/2009 at 04:54 PM Application Version : 4.26.1000 Core Rules Database Version : 3829 Trace Rules Database Version: 1785 Scan type : Complete Scan Total Scan Time : 00:47:35 Memory items scanned : 477 Memory threats detected : 0 Registry items scanned : 4830 Registry threats detected : 2 File items scanned : 72362 File threats detected : 6 Rootkit.Agent/Gen-GAOPDX HKLM\System\ControlSet001\Services\gaopdxserv.sys C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXAEOITKMNKENFBGDNDQUAFTSOQDXLTJLK.SYS HKLM\System\ControlSet001\Enum\Root\LEGACY_gaopdxserv.sys Adware.Tracking Cookie C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\***\Cookies\***@ads.sun[2].txt C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt C:\Dokumente und Einstellungen\***\Cookies\***@revsci[2].txt C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll http://www.superantispyware.com Generiert 04/05/2009 bei 07:08 PM Version der Applikation : 4.26.1000 Version der Kern-Datenbank : 3829 Version der Spur-Datenbank : 1785 Scan Art : Schneller Scann Totale Scann-Zeit : 01:32:33 Gescannte Speicherelemente : 219 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 464 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 42506 Erfasste Datei-Elemente : 0 Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll http://www.superantispyware.com Generiert 04/06/2009 bei 10:56 PM Version der Applikation : 4.26.1000 Version der Kern-Datenbank : 3829 Version der Spur-Datenbank : 1785 Scan Art : kompletter Scann Totale Scann-Zeit : 00:48:03 Gescannte Speicherelemente : 485 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 4828 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 71962 Erfasste Datei-Elemente : 0 |
07.04.2009, 04:23 | #4 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 So, dann hab ich noch GMER durchlaufen lassen: Code:
ATTFilter GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-07 04:51:07 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA96F5DF0] ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Norman\Nvc\Bin\cclaw.exe[1544] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\Programme\Toshiba\Toshiba Applet\thotkey.exe[2256] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\Norman\nse\bin\NSESVC.EXE[2264] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe[2272] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\WINDOWS\system32\igfxsrvc.exe[2520] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\Internet Explorer\iexplore.exe[2540] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\WINDOWS\system32\hkcmd.exe[2552] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\WINDOWS\system32\TPSBattM.exe[2628] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\WINDOWS\system32\igfxpers.exe[2640] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\Atheros\ACU.exe[2664] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A .text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\Programme\Windows Defender\MSASCui.exe[2700] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[2724] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\WINDOWS\system32\ctfmon.exe[2864] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI} .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F210F5A .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1E0F5A .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A .text C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A .text C:\WINDOWS\system32\NOTEPAD.EXE[3008] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\WINDOWS\system32\NOTEPAD.EXE[3008] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text C:\WINDOWS\system32\NOTEPAD.EXE[3036] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\WINDOWS\system32\NOTEPAD.EXE[3036] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text E:\download\87t4nqij.exe[3492] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text E:\download\87t4nqij.exe[3492] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text C:\Programme\Norman\Nvc\bin\nvcoas.exe[3532] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text C:\WINDOWS\system32\wuauclt.exe[3796] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!htons 71A12E53 6 Bytes JMP 5F190F5A .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 1F, 5F] {PUSH DS; ADD [EDI], BL; POP EDI} .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F070F5A .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!connect 71A14A07 6 Bytes JMP 5F0D0F5A .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F210F5A .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F160F5A .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F130F5A .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F100F5A .text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!accept 71A21040 6 Bytes JMP 5F0A0F5A .text C:\Programme\Norman\Nvc\Bin\Nip.exe[3828] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes CALL 7170003D ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) |
07.04.2009, 04:28 | #5 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Teil 2, da für einen Post zu lang: Code:
ATTFilter ---- Files - GMER 1.0.15 ---- File C:\Recycled\NPROTECT File C:\Recycled\NPROTECT\NPROTECT.LOG File C:\Recycled\NPROTECT\00000000.INI File C:\Recycled\NPROTECT\00000002.INI File C:\Recycled\NPROTECT\00000003.INI File C:\Recycled\NPROTECT\00000004.INI File C:\Recycled\NPROTECT\00000007.edb File C:\Recycled\NPROTECT\00000024.JOB File C:\Recycled\NPROTECT\00000025.niu File C:\Recycled\NPROTECT\00000026.edb File C:\Recycled\NPROTECT\00000029 File C:\Recycled\NPROTECT\00000030 File C:\Recycled\NPROTECT\00000043 File C:\Recycled\NPROTECT\00000044 File C:\Recycled\NPROTECT\00000048.PF File C:\Recycled\NPROTECT\00000049.INI File C:\Recycled\NPROTECT\00000053.INI File C:\Recycled\NPROTECT\00000054.INI File C:\Recycled\NPROTECT\00000055.INI File C:\Recycled\NPROTECT\00000062.edb File C:\Recycled\NPROTECT\00000069.JOB File C:\Recycled\NPROTECT\00000076.edb File C:\Recycled\NPROTECT\00000090.edb File C:\Recycled\NPROTECT\00000095 File C:\Recycled\NPROTECT\00000096 File C:\Recycled\NPROTECT\00000103.niu File C:\Recycled\NPROTECT\00000107.CAB File C:\Recycled\NPROTECT\00000114.edb File C:\Recycled\NPROTECT\00000117.ORI File C:\Recycled\NPROTECT\00000118.TXT File C:\Recycled\NPROTECT\00000121.sol File C:\Recycled\NPROTECT\00000122.sol File C:\Recycled\NPROTECT\00000123.sol File C:\Recycled\NPROTECT\00000124.sol File C:\Recycled\NPROTECT\00000125.sol File C:\Recycled\NPROTECT\00000126.sol File C:\Recycled\NPROTECT\00000127.sol File C:\Recycled\NPROTECT\00000128.sol File C:\Recycled\NPROTECT\00000129.sol File C:\Recycled\NPROTECT\00000130.sol File C:\Recycled\NPROTECT\00000131.sol File C:\Recycled\NPROTECT\00000132.sol File C:\Recycled\NPROTECT\00000133.sol File C:\Recycled\NPROTECT\00000134.sol File C:\Recycled\NPROTECT\00000135.sol File C:\Recycled\NPROTECT\00000136.sol File C:\Recycled\NPROTECT\00000137.sol File C:\Recycled\NPROTECT\00000138.sol File C:\Recycled\NPROTECT\00000139.sol File C:\Recycled\NPROTECT\00000140.sol File C:\Recycled\NPROTECT\00000141.sol File C:\Recycled\NPROTECT\00000142.sol File C:\Recycled\NPROTECT\00000143.sol File C:\Recycled\NPROTECT\00000144.SOL File C:\Recycled\NPROTECT\00000146.bat File C:\Recycled\NPROTECT\00000148.txt File C:\Recycled\NPROTECT\00000149.exe File C:\Recycled\NPROTECT\00000212 File C:\Recycled\NPROTECT\00000151.bat File C:\Recycled\NPROTECT\00000153.INI File C:\Recycled\NPROTECT\00000156.INI File C:\Recycled\NPROTECT\00000157.INI File C:\Recycled\NPROTECT\00000158.INI File C:\Recycled\NPROTECT\00000183.PF File C:\Recycled\NPROTECT\00000184.PF File C:\Recycled\NPROTECT\00000191.PF File C:\Recycled\NPROTECT\00000203.JOB File C:\Recycled\NPROTECT\00000204.edb File C:\Recycled\NPROTECT\00000205.edb File C:\Recycled\NPROTECT\00000206 File C:\Recycled\NPROTECT\00000207 File C:\Recycled\NPROTECT\00000277 File C:\Recycled\NPROTECT\00000214.txt File C:\Recycled\NPROTECT\00000215.zip File C:\Recycled\NPROTECT\00000216 File C:\Recycled\NPROTECT\00000218.INI File C:\Recycled\NPROTECT\00000220.INI File C:\Recycled\NPROTECT\00000221.INI File C:\Recycled\NPROTECT\00000222.INI File C:\Recycled\NPROTECT\00000225.edb File C:\Recycled\NPROTECT\00000246.JOB File C:\Recycled\NPROTECT\00000250.rbs File C:\Recycled\NPROTECT\00000251.ipi File C:\Recycled\NPROTECT\00000252.msi File C:\Recycled\NPROTECT\00000261.edb File C:\Recycled\NPROTECT\00000263.PF File C:\Recycled\NPROTECT\00000265.THE File C:\Recycled\NPROTECT\00000268 File C:\Recycled\NPROTECT\00000269 File C:\Recycled\NPROTECT\00000278 File C:\Recycled\NPROTECT\00000279 File C:\Recycled\NPROTECT\00000280 File C:\Recycled\NPROTECT\00000281 File C:\Recycled\NPROTECT\00000282 File C:\Recycled\NPROTECT\00000283.db File C:\Recycled\NPROTECT\00000284.SYS File C:\Recycled\NPROTECT\00000288.ndf File C:\Recycled\NPROTECT\00000289.ndf File C:\Recycled\NPROTECT\00000290.db File C:\Recycled\NPROTECT\00000291 File C:\Recycled\NPROTECT\00000292 File C:\Recycled\NPROTECT\00000293 File C:\Recycled\NPROTECT\00000294 File C:\Recycled\NPROTECT\00000295 File C:\Recycled\NPROTECT\00000296 File C:\Recycled\NPROTECT\00000298.SBU File C:\Recycled\NPROTECT\00000299.db File C:\Recycled\NPROTECT\00000300.DSC File C:\Recycled\NPROTECT\00000301.db File C:\Recycled\NPROTECT\00000302.SBU File C:\Recycled\NPROTECT\00000308.ini File C:\Recycled\NPROTECT\00000309.ini File C:\Recycled\NPROTECT\00000310.SOL File C:\Recycled\NPROTECT\00000311.SOL File C:\Recycled\NPROTECT\00000312.sol File C:\Recycled\NPROTECT\00000313.sol File C:\Recycled\NPROTECT\00000314.sol File C:\Recycled\NPROTECT\00000318.log File C:\Recycled\NPROTECT\00000322.log File C:\Recycled\NPROTECT\00000326.LOG File C:\Recycled\NPROTECT\00000330.log File C:\Recycled\NPROTECT\00000331 File C:\Recycled\NPROTECT\00000333.GID File C:\Recycled\NPROTECT\00000334.GID File C:\Recycled\NPROTECT\00000335.~TH File C:\Recycled\NPROTECT\00000336.~AN File C:\Recycled\NPROTECT\00000337.WAB File C:\Recycled\NPROTECT\00000338.GID File C:\Recycled\NPROTECT\00000339.GID File C:\Recycled\NPROTECT\00000340.GID File C:\Recycled\NPROTECT\00000341.GID File C:\Recycled\NPROTECT\00000342.PRV File C:\Recycled\NPROTECT\00000343.SYD File C:\Recycled\NPROTECT\00000344.SYD File C:\Recycled\NPROTECT\00000345.DB File C:\Recycled\NPROTECT\00000346.DB File C:\Recycled\NPROTECT\00000347.DB File C:\Recycled\NPROTECT\00000348.DB File C:\Recycled\NPROTECT\00000349.DB File C:\Recycled\NPROTECT\00000350.DB File C:\Recycled\NPROTECT\00000351.DB File C:\Recycled\NPROTECT\00000352.DB File C:\Recycled\NPROTECT\00000353.DB File C:\Recycled\NPROTECT\00000354.DB File C:\Recycled\NPROTECT\00000355.DB File C:\Recycled\NPROTECT\00000356.DB File C:\Recycled\NPROTECT\00000357.DB File C:\Recycled\NPROTECT\00000358.DB File C:\Recycled\NPROTECT\00000359.DB File C:\Recycled\NPROTECT\00000360.DB File C:\Recycled\NPROTECT\00000361.DB File C:\Recycled\NPROTECT\00000362.DB File C:\Recycled\NPROTECT\00000363.DB File C:\Recycled\NPROTECT\00000364.DB File C:\Recycled\NPROTECT\00000365.DB File C:\Recycled\NPROTECT\00000366.DB File C:\Recycled\NPROTECT\00000367.DB File C:\Recycled\NPROTECT\00000368.DB File C:\Recycled\NPROTECT\00000369.DB File C:\Recycled\NPROTECT\00000370.DB File C:\Recycled\NPROTECT\00000371.DB File C:\Recycled\NPROTECT\00000372.DB File C:\Recycled\NPROTECT\00000373.DB File C:\Recycled\NPROTECT\00000374.DB File C:\Recycled\NPROTECT\00000375.DB File C:\Recycled\NPROTECT\00000376.DB File C:\Recycled\NPROTECT\00000377.DB File C:\Recycled\NPROTECT\00000378.DB File C:\Recycled\NPROTECT\00000379.DB File C:\Recycled\NPROTECT\00000380.DB File C:\Recycled\NPROTECT\00000381.DB File C:\Recycled\NPROTECT\00000382.DB File C:\Recycled\NPROTECT\00000383.DB File C:\Recycled\NPROTECT\00000384.DB File C:\Recycled\NPROTECT\00000385.DB File C:\Recycled\NPROTECT\00000386.DB File C:\Recycled\NPROTECT\00000387.DB File C:\Recycled\NPROTECT\00000388.DB File C:\Recycled\NPROTECT\00000389.DB File C:\Recycled\NPROTECT\00000390.DB File C:\Recycled\NPROTECT\00000391.DB File C:\Recycled\NPROTECT\00000392.DB File C:\Recycled\NPROTECT\00000393.DB File C:\Recycled\NPROTECT\00000394.DB File C:\Recycled\NPROTECT\00000395.DB File C:\Recycled\NPROTECT\00000396.DB File C:\Recycled\NPROTECT\00000397.DB File C:\Recycled\NPROTECT\00000398.DB File C:\Recycled\NPROTECT\00000399.DB File C:\Recycled\NPROTECT\00000400.DB File C:\Recycled\NPROTECT\00000401.DB File C:\Recycled\NPROTECT\00000402.DB File C:\Recycled\NPROTECT\00000403.DB File C:\Recycled\NPROTECT\00000404.DB File C:\Recycled\NPROTECT\00000405.DB File C:\Recycled\NPROTECT\00000406.DB File C:\Recycled\NPROTECT\00000407.DB File C:\Recycled\NPROTECT\00000408.DB File C:\Recycled\NPROTECT\00000409.DB File C:\Recycled\NPROTECT\00000410.DB File C:\Recycled\NPROTECT\00000411.DB File C:\Recycled\NPROTECT\00000412.DB File C:\Recycled\NPROTECT\00000413.DB File C:\Recycled\NPROTECT\00000414.DB File C:\Recycled\NPROTECT\00000415.DB File C:\Recycled\NPROTECT\00000416.DB File C:\Recycled\NPROTECT\00000417.DB File C:\Recycled\NPROTECT\00000418.DB File C:\Recycled\NPROTECT\00000419.DB File C:\Recycled\NPROTECT\00000420.DB File C:\Recycled\NPROTECT\00000421.DB File C:\Recycled\NPROTECT\00000422.DB File C:\Recycled\NPROTECT\00000423.DB File C:\Recycled\NPROTECT\00000424.DB File C:\Recycled\NPROTECT\00000425.DB File C:\Recycled\NPROTECT\00000426.DB File C:\Recycled\NPROTECT\00000427.DB File C:\Recycled\NPROTECT\00000428.DB File C:\Recycled\NPROTECT\00000429.DB File C:\Recycled\NPROTECT\00000430.DB File C:\Recycled\NPROTECT\00000431.DB File C:\Recycled\NPROTECT\00000432.DB File C:\Recycled\NPROTECT\00000433.DB File C:\Recycled\NPROTECT\00000434.DB File C:\Recycled\NPROTECT\00000435.DB File C:\Recycled\NPROTECT\00000436.DB File C:\Recycled\NPROTECT\00000437.DB File C:\Recycled\NPROTECT\00000438.DB File C:\Recycled\NPROTECT\00000439.DB File C:\Recycled\NPROTECT\00000440.DB File C:\Recycled\NPROTECT\00000441.DB File C:\Recycled\NPROTECT\00000442.DB File C:\Recycled\NPROTECT\00000443.DB File C:\Recycled\NPROTECT\00000444.DB File C:\Recycled\NPROTECT\00000445.chk File C:\Recycled\NPROTECT\00000446.chk File C:\Recycled\NPROTECT\00000447.chk File C:\Recycled\NPROTECT\00000448.chk File C:\Recycled\NPROTECT\00000449.chk File C:\Recycled\NPROTECT\00000450.dmp File C:\Recycled\NPROTECT\00000451.dmp File C:\Recycled\NPROTECT\00000452.chk File C:\Recycled\NPROTECT\00000453.chk File C:\Recycled\NPROTECT\00000454.WBK File C:\Recycled\NPROTECT\00000455.STA File C:\Recycled\NPROTECT\00000456.STA File C:\Recycled\NPROTECT\00000457.PSM File C:\Recycled\NPROTECT\00000458.exe File C:\Recycled\NPROTECT\00000459.dll File C:\Recycled\NPROTECT\00000460.dll File C:\Recycled\NPROTECT\00000461.dll File C:\Recycled\NPROTECT\00000462.INF File C:\Recycled\NPROTECT\00000463.INF File C:\Recycled\NPROTECT\00000464.INF File C:\Recycled\NPROTECT\00000465.INF File C:\Recycled\NPROTECT\00000466.inf File C:\Recycled\NPROTECT\00000467.inf File C:\Recycled\NPROTECT\00000468.url File C:\Recycled\NPROTECT\00000469.cat File C:\Recycled\NPROTECT\00000470.cat File C:\Recycled\NPROTECT\00000471.txt File C:\Recycled\NPROTECT\00000472.ver File C:\Recycled\NPROTECT\00000473.exe File C:\Recycled\NPROTECT\00000474.dll File C:\Recycled\NPROTECT\00000475.STA File C:\Recycled\NPROTECT\00000476.rq0 File C:\Recycled\NPROTECT\00000477.sys File C:\Recycled\NPROTECT\00000478.sys File C:\Recycled\NPROTECT\00000479.STA File C:\Recycled\NPROTECT\00000480.STA File C:\Recycled\NPROTECT\00000481.PSM File C:\Recycled\NPROTECT\00000482.INF File C:\Recycled\NPROTECT\00000483.INF File C:\Recycled\NPROTECT\00000484.INF File C:\Recycled\NPROTECT\00000485.INF File C:\Recycled\NPROTECT\00000486.inf File C:\Recycled\NPROTECT\00000487.exe File C:\Recycled\NPROTECT\00000488.inf File C:\Recycled\NPROTECT\00000489.url File C:\Recycled\NPROTECT\00000490.dll File C:\Recycled\NPROTECT\00000491.dll File C:\Recycled\NPROTECT\00000492.cat File C:\Recycled\NPROTECT\00000493.txt File C:\Recycled\NPROTECT\00000494.ver File C:\Recycled\NPROTECT\00000495.exe File C:\Recycled\NPROTECT\00000496.dll File C:\Recycled\NPROTECT\00000497.STA File C:\Recycled\NPROTECT\00000498.rq0 File C:\Recycled\NPROTECT\00000499.dll File C:\Recycled\NPROTECT\00000500.dll File C:\Recycled\NPROTECT\00000501.STA File C:\Recycled\NPROTECT\00000502.STA File C:\Recycled\NPROTECT\00000503.PSM File C:\Recycled\NPROTECT\00000504.exe File C:\Recycled\NPROTECT\00000505.INF File C:\Recycled\NPROTECT\00000506.INF File C:\Recycled\NPROTECT\00000507.INF File C:\Recycled\NPROTECT\00000508.INF File C:\Recycled\NPROTECT\00000509.inf File C:\Recycled\NPROTECT\00000510.inf File C:\Recycled\NPROTECT\00000511.url File C:\Recycled\NPROTECT\00000512.dll File C:\Recycled\NPROTECT\00000513.dll File C:\Recycled\NPROTECT\00000514.cat File C:\Recycled\NPROTECT\00000515.txt File C:\Recycled\NPROTECT\00000516.ver File C:\Recycled\NPROTECT\00000517.exe File C:\Recycled\NPROTECT\00000518.dll File C:\Recycled\NPROTECT\00000519.STA File C:\Recycled\NPROTECT\00000520.rq0 File C:\Recycled\NPROTECT\00000521.dll File C:\Recycled\NPROTECT\00000522.dll File C:\Recycled\NPROTECT\00000528.INI File C:\Recycled\NPROTECT\00000530.INI File C:\Recycled\NPROTECT\00000532.INI File C:\Recycled\NPROTECT\00000533.INI File C:\Recycled\NPROTECT\00000534.THE File C:\Recycled\NPROTECT\00000548.JOB File C:\Recycled\NPROTECT\00000549.PF File C:\Recycled\NPROTECT\00000551.THE File C:\Recycled\NPROTECT\00000552.dat File C:\Recycled\NPROTECT\00000553.BMP File C:\Recycled\NPROTECT\00000555.niu File C:\Recycled\NPROTECT\00000556.edb File C:\Recycled\NPROTECT\00000558 File C:\Recycled\NPROTECT\00000559 File C:\Recycled\NPROTECT\00000563.INI File C:\Recycled\NPROTECT\00000565.INI File C:\Recycled\NPROTECT\00000567.INI File C:\Recycled\NPROTECT\00000568.INI File C:\Recycled\NPROTECT\00000585.JOB File C:\Recycled\NPROTECT\00000586.edb File C:\Recycled\NPROTECT\00000587.niu File C:\Recycled\NPROTECT\00000589.INI File C:\Recycled\NPROTECT\00000591.INI File C:\Recycled\NPROTECT\00000593.INI File C:\Recycled\NPROTECT\00000594.INI File C:\Recycled\NPROTECT\00000611.JOB File C:\Recycled\NPROTECT\00000612.383 File C:\Recycled\NPROTECT\00000613.400 File C:\Recycled\NPROTECT\00000614.400 File C:\Recycled\NPROTECT\00000615.487 File C:\Recycled\NPROTECT\00000616.487 File C:\Recycled\NPROTECT\00000617.141 File C:\Recycled\NPROTECT\00000618.141 File C:\Recycled\NPROTECT\00000619.161 File C:\Recycled\NPROTECT\00000620.161 File C:\Recycled\NPROTECT\00000621.964 File C:\Recycled\NPROTECT\00000622.964 File C:\Recycled\NPROTECT\00000623.218 File C:\Recycled\NPROTECT\00000624.218 File C:\Recycled\NPROTECT\00000625.734 File C:\Recycled\NPROTECT\00000626.734 File C:\Recycled\NPROTECT\00000627.801 File C:\Recycled\NPROTECT\00000628.801 File C:\Recycled\NPROTECT\00000629.edb File C:\Recycled\NPROTECT\00000630.ini File C:\Recycled\NPROTECT\00000631.ini File C:\Recycled\NPROTECT\00000632.txt File C:\Recycled\NPROTECT\00000633.DAT File C:\Recycled\NPROTECT\00000637.log File C:\Recycled\NPROTECT\00000641.log File C:\Recycled\NPROTECT\00000645.LOG File C:\Recycled\NPROTECT\00000649.log File C:\Recycled\NPROTECT\00000653.INI File C:\Recycled\NPROTECT\00000655.INI File C:\Recycled\NPROTECT\00000657.INI File C:\Recycled\NPROTECT\00000658.INI File C:\Recycled\NPROTECT\00000676.JOB File C:\Recycled\NPROTECT\00000677.niu File C:\Recycled\NPROTECT\00000679.edb File C:\Recycled\NPROTECT\00000681.ini File C:\Recycled\NPROTECT\00000682.ini File C:\Recycled\NPROTECT\00000689 File C:\Recycled\NPROTECT\00000690 File C:\Recycled\NPROTECT\00000760.niu File C:\Recycled\NPROTECT\00000696.INI File C:\Recycled\NPROTECT\00000698.INI File C:\Recycled\NPROTECT\00000700.INI File C:\Recycled\NPROTECT\00000701.INI File C:\Recycled\NPROTECT\00000719.JPG File C:\Recycled\NPROTECT\00000720.JOB File C:\Recycled\NPROTECT\00000721.edb File C:\Recycled\NPROTECT\00000766.sys File C:\Recycled\NPROTECT\00000726.INI File C:\Recycled\NPROTECT\00000728.INI File C:\Recycled\NPROTECT\00000730.INI File C:\Recycled\NPROTECT\00000731.INI File C:\Recycled\NPROTECT\00000749.JOB File C:\Recycled\NPROTECT\00000750.edb File C:\Recycled\NPROTECT\00000751.edb File C:\Recycled\NPROTECT\00000753.THE File C:\Recycled\NPROTECT\00000754 File C:\Recycled\NPROTECT\00000755 File C:\Recycled\NPROTECT\00000767.sys File C:\Recycled\NPROTECT\00000768.PF File C:\Recycled\NPROTECT\00000769.PF File C:\Recycled\NPROTECT\00000770.PF File C:\Recycled\NPROTECT\00000771.PF File C:\Recycled\NPROTECT\00000772.PF File C:\Recycled\NPROTECT\00000773.PF File C:\Recycled\NPROTECT\00000774.PF File C:\Recycled\NPROTECT\00000775.PF File C:\Recycled\NPROTECT\00000776.PF File C:\Recycled\NPROTECT\00000777.PF File C:\Recycled\NPROTECT\00000778.PF File C:\Recycled\NPROTECT\00000779.PF File C:\Recycled\NPROTECT\00000780.PF File C:\Recycled\NPROTECT\00000781.PF File C:\Recycled\NPROTECT\00000782.PF File C:\Recycled\NPROTECT\00000783.PF File C:\Recycled\NPROTECT\00000784.PF File C:\Recycled\NPROTECT\00000785.PF File C:\Recycled\NPROTECT\00000786.PF File C:\Recycled\NPROTECT\00000787.PF File C:\Recycled\NPROTECT\00000788.PF File C:\Recycled\NPROTECT\00000789.PF File C:\Recycled\NPROTECT\00000790.PF File C:\Recycled\NPROTECT\00000791.PF File C:\Recycled\NPROTECT\00000792.PF File C:\Recycled\NPROTECT\00000793.PF File C:\Recycled\NPROTECT\00000794.PF File C:\Recycled\NPROTECT\00000795.PF File C:\Recycled\NPROTECT\00000796.PF File C:\Recycled\NPROTECT\00000797.PF File C:\Recycled\NPROTECT\00000798.PF File C:\Recycled\NPROTECT\00000799.PF File C:\Recycled\NPROTECT\00000800.PF File C:\Recycled\NPROTECT\00000801.PF File C:\Recycled\NPROTECT\00000802.PF File C:\Recycled\NPROTECT\00000803.PF File C:\Recycled\NPROTECT\00000804.PF File C:\Recycled\NPROTECT\00000805.PF File C:\Recycled\NPROTECT\00000806.PF File C:\Recycled\NPROTECT\00000807.PF File C:\Recycled\NPROTECT\00000808.PF File C:\Recycled\NPROTECT\00000809.PF File C:\Recycled\NPROTECT\00000810.PF File C:\Recycled\NPROTECT\00000811.PF File C:\Recycled\NPROTECT\00000812.PF File C:\Recycled\NPROTECT\00000813.PF File C:\Recycled\NPROTECT\00000814.PF File C:\Recycled\NPROTECT\00000815.PF File C:\Recycled\NPROTECT\00000816.PF File C:\Recycled\NPROTECT\00000817.PF File C:\Recycled\NPROTECT\00000818.PF File C:\Recycled\NPROTECT\00000819.PF File C:\Recycled\NPROTECT\00000820.PF File C:\Recycled\NPROTECT\00000821.PF File C:\Recycled\NPROTECT\00000822.PF File C:\Recycled\NPROTECT\00000823.PF File C:\Recycled\NPROTECT\00000824.PF File C:\Recycled\NPROTECT\00000825.PF File C:\Recycled\NPROTECT\00000826.PF File C:\Recycled\NPROTECT\00000827.PF File C:\Recycled\NPROTECT\00000828.PF File C:\Recycled\NPROTECT\00000829.PF File C:\Recycled\NPROTECT\00000830.PF File C:\Recycled\NPROTECT\00000831.PF File C:\Recycled\NPROTECT\00000832.PF File C:\Recycled\NPROTECT\00000833.PF File C:\Recycled\NPROTECT\00000834.PF File C:\Recycled\NPROTECT\00000835.PF File C:\Recycled\NPROTECT\00000836.PF File C:\Recycled\NPROTECT\00000837.PF File C:\Recycled\NPROTECT\00000838.PF File C:\Recycled\NPROTECT\00000839.PF File C:\Recycled\NPROTECT\00000840.PF File C:\Recycled\NPROTECT\00000841.PF File C:\Recycled\NPROTECT\00000842.PF File C:\Recycled\NPROTECT\00000843.PF File C:\Recycled\NPROTECT\00000844.PF File C:\Recycled\NPROTECT\00000845.PF File C:\Recycled\NPROTECT\00000846.PF File C:\Recycled\NPROTECT\00000847.PF File C:\Recycled\NPROTECT\00000848.PF File C:\Recycled\NPROTECT\00000849.PF File C:\Recycled\NPROTECT\00000850.PF File C:\Recycled\NPROTECT\00000851.PF File C:\Recycled\NPROTECT\00000852.PF File C:\Recycled\NPROTECT\00000853.PF File C:\Recycled\NPROTECT\00000854.PF File C:\Recycled\NPROTECT\00000855.PF File C:\Recycled\NPROTECT\00000856.PF File C:\Recycled\NPROTECT\00000857.PF File C:\Recycled\NPROTECT\00000858.PF File C:\Recycled\NPROTECT\00000859.PF File C:\Recycled\NPROTECT\00000860.PF File C:\Recycled\NPROTECT\00000861.PF File C:\Recycled\NPROTECT\00000862.PF File C:\Recycled\NPROTECT\00000863.PF File C:\Recycled\NPROTECT\00000865.niu File C:\Recycled\NPROTECT\00000869.niu File C:\Recycled\NPROTECT\00000876.niu File C:\Recycled\NPROTECT\00000878.edb File C:\Recycled\NPROTECT\00000881.ndf File C:\Recycled\NPROTECT\00000882.ndf File C:\Recycled\NPROTECT\00000883.ndf File C:\Recycled\NPROTECT\00000884.THE File C:\Recycled\NPROTECT\00000885.BMP File C:\Recycled\NPROTECT\00000894.CAB File C:\Recycled\NPROTECT\00000898.sol File C:\Recycled\NPROTECT\00000899.sol File C:\Recycled\NPROTECT\00000900.sol File C:\Recycled\NPROTECT\00000901.sol File C:\Recycled\NPROTECT\00000902.sol File C:\Recycled\NPROTECT\00000903.sol File C:\Recycled\NPROTECT\00000904.sol File C:\Recycled\NPROTECT\00000905.sol File C:\Recycled\NPROTECT\00000906.sol File C:\Recycled\NPROTECT\00000907.sol File C:\Recycled\NPROTECT\00000908.sol File C:\Recycled\NPROTECT\00000909.sol File C:\Recycled\NPROTECT\00000910.sol File C:\Recycled\NPROTECT\00000911.sol File C:\Recycled\NPROTECT\00000912.sol File C:\Recycled\NPROTECT\00000913.sol File C:\Recycled\NPROTECT\00000917.edb File C:\Recycled\NPROTECT\00000920.niu File C:\Recycled\NPROTECT\00000922.NSA File C:\Recycled\NPROTECT\00000923.NSA File C:\Recycled\NPROTECT\00000943.chm File C:\Recycled\NPROTECT\00000944.txt File C:\Recycled\NPROTECT\00000945.rtf File C:\Recycled\NPROTECT\00000946.ref File C:\Recycled\NPROTECT\00000947.lng File C:\Recycled\NPROTECT\00000948.LNG File C:\Recycled\NPROTECT\00000949.lng File C:\Recycled\NPROTECT\00000950.LNG File C:\Recycled\NPROTECT\00000951.LNG File C:\Recycled\NPROTECT\00000952.lng File C:\Recycled\NPROTECT\00000953.lng File C:\Recycled\NPROTECT\00000954.lng File C:\Recycled\NPROTECT\00000955.lng File C:\Recycled\NPROTECT\00000956.lng File C:\Recycled\NPROTECT\00000957.lng File C:\Recycled\NPROTECT\00000958.lng File C:\Recycled\NPROTECT\00000959.lng File C:\Recycled\NPROTECT\00000960.lng File C:\Recycled\NPROTECT\00000961.LNG File C:\Recycled\NPROTECT\00000962.lng File C:\Recycled\NPROTECT\00000963.lng File C:\Recycled\NPROTECT\00000964.LNG File C:\Recycled\NPROTECT\00000965.LNG File C:\Recycled\NPROTECT\00000966.lng File C:\Recycled\NPROTECT\00000967.LNG File C:\Recycled\NPROTECT\00000968.LNG File C:\Recycled\NPROTECT\00000969.lng File C:\Recycled\NPROTECT\00000970.lng File C:\Recycled\NPROTECT\00000971.lng File C:\Recycled\NPROTECT\00000972.lng File C:\Recycled\NPROTECT\00000973.LNG File C:\Recycled\NPROTECT\00000974.lng File C:\Recycled\NPROTECT\00000975.lng File C:\Recycled\NPROTECT\00000976.lng File C:\Recycled\NPROTECT\00000977.LNG File C:\Recycled\NPROTECT\00000979.exe File C:\Recycled\NPROTECT\00000980.SYS File C:\Recycled\NPROTECT\00000981.dll File C:\Recycled\NPROTECT\00000982.exe File C:\Recycled\NPROTECT\00000984.EXE File C:\Recycled\NPROTECT\00000985.sys File C:\Recycled\NPROTECT\00000986.LNK File C:\Recycled\NPROTECT\00000987.LNK File C:\Recycled\NPROTECT\00000988.LNK File C:\Recycled\NPROTECT\00000990.exe File C:\Recycled\NPROTECT\00001003.edb File C:\Recycled\NPROTECT\00001007.TXT File C:\Recycled\NPROTECT\00001008.TXT ---- EOF - GMER 1.0.15 ---- Geändert von help me (07.04.2009 um 04:29 Uhr) Grund: Der Beschreibungstext über dem Log war weg. |
07.04.2009, 04:40 | #6 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Nachdem mittlerweile meine exe-Dateiendung bei MBAM wieder funktioniert und meine Windowssuche auch, habe ich geschaut, wo die beiden Dateien RTHDCPL.exe und dann ALCMTR.exe liegen. Und mich beunruhigt etwas, dass die Dateien drei mal vorhanden sind, im Programmordner von Realtek selbst, dann unter den Systemdateien in c:\windows\system32\reinstallbackups\0011\DriverFiles) und unter c:\windows\. Mhm. Daraufhin hab ich die RTHDCPL.exe mal bei Virus Total hochgeladen. Code:
ATTFilter Datei RTHDCPL.exe empfangen 2009.01.12 16:45:49 (CET) Status: Beendet Ergebnis: 0/37 (0.00%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2009.01.12 - AhnLab-V3 2009.1.10.0 2009.01.12 - AntiVir 7.9.0.54 2009.01.12 - Authentium 5.1.0.4 2009.01.12 - Avast 4.8.1281.0 2009.01.12 - AVG 8.0.0.229 2009.01.12 - BitDefender 7.2 2009.01.12 - CAT-QuickHeal 10.00 2009.01.12 - ClamAV 0.94.1 2009.01.12 - Comodo 919 2009.01.12 - DrWeb 4.44.0.09170 2009.01.12 - eSafe 7.0.17.0 2009.01.12 - eTrust-Vet 31.6.6304 2009.01.12 - F-Prot 4.4.4.56 2009.01.12 - F-Secure 8.0.14470.0 2009.01.12 - Fortinet 3.117.0.0 2009.01.11 - GData 19 2009.01.12 - Ikarus T3.1.1.45.0 2009.01.12 - K7AntiVirus 7.10.584 2009.01.09 - Kaspersky 7.0.0.125 2009.01.12 - McAfee 5492 2009.01.11 - McAfee+Artemis 5492 2009.01.11 - Microsoft 1.4205 2009.01.12 - NOD32 3759 2009.01.12 - Norman 5.93.01 2009.01.12 - Panda 9.4.3.3 2009.01.11 - PCTools 4.4.2.0 2009.01.12 - Prevx1 V2 2009.01.12 - Rising 21.12.02.00 2009.01.12 - SecureWeb-Gateway 6.7.6 2009.01.12 - Sophos 4.37.0 2009.01.12 - Sunbelt 3.2.1831.2 2009.01.09 - TheHacker 6.3.1.4.218 2009.01.11 - TrendMicro 8.700.0.1004 2009.01.12 - VBA32 3.12.8.10 2009.01.12 - ViRobot 2009.1.12.1554 2009.01.12 - VirusBuster 4.5.11.0 2009.01.12 - weitere Informationen File size: 16859648 bytes MD5...: 408ddea6399d173246a62b7bd9d776dd SHA1..: 81b298535f2ebeb43c210227360faf085ef06404 SHA256: 021df0f78d9807b61347d60991eaccdee13ad1a44c3b0ae5ebc4824571e2c7ea SHA512: 803566483e2a3031fa13d8d01a2958b8eb6ed968ba49374f89536f1e863c0ba9 53b8bdf4718b24124df27d353d4b27de9b3852a77dc0faf238941009c8c691f0 ssdeep: 98304:gzrJAOl2EgAR6jA5s/ZPAQAhFoQDme0BRBRBRBix4B0BRBRBRBix4QjnPB RBRBRI:gz2ejRxQ9OVdedjCCSIpVw PEiD..: - TrID..: File type identification Windows OCX File (48.2%) InstallShield setup (16.8%) Win32 EXE PECompact compressed (generic) (16.2%) Win32 Executable Delphi generic (5.7%) DOS Executable Borland C++ (5.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401a28 timedatestamp.....: 0x479eda24 (Tue Jan 29 07:47:48 2008) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x230000 0x22fa00 6.46 85ed80128d05ab0481a6611efb1748f4 .data 0x231000 0x111000 0x3ae00 5.21 d2fc623cf2b2b01d4a3f0f091668d7d3 .tls 0x342000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b .rdata 0x343000 0x1000 0x200 0.21 e4727f0aac154b56d68522b150b816d6 .idata 0x344000 0x4000 0x3800 5.09 4a68cbe229cb57a5ad6a6d40eb705458 .edata 0x348000 0x58000 0x57600 5.88 bce5e3fc91adcafeb11a5b23069cb392 .rsrc 0x3a0000 0xd28000 0xd27800 7.39 23180e871955a92e1e744b5122982e35 .reloc 0x10c8000 0x27000 0x26a00 6.63 c8526c7f06f157cbc1a1fa0b72a36787 ( 16 imports ) > DSOUND.DLL: DirectSoundCreate, DirectSoundEnumerateA > HHCTRL.OCX: - > SETUPAPI.DLL: SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInfo, SetupDiEnumDeviceInterfaces, SetupDiGetClassDevsA, SetupDiGetDeviceInstanceIdA, SetupDiGetDeviceInterfaceDetailA, SetupDiGetDeviceRegistryPropertyA > ADVAPI32.DLL: RegCloseKey, RegCreateKeyA, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegEnumValueA, RegFlushKey, RegOpenKeyA, RegOpenKeyExA, RegQueryInfoKeyA, RegQueryValueExA, RegSetValueExA > KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateEventA, CreateFileA, CreateMutexA, CreateProcessA, CreateThread, DeleteCriticalSection, DeleteFileA, DeviceIoControl, EnterCriticalSection, EnumCalendarInfoA, ExitProcess, FileTimeToDosDateTime, FileTimeToLocalFileTime, FindClose, FindFirstFileA, FindNextFileA, FindResourceA, FormatMessageA, FreeLibrary, FreeResource, GetACP, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetCurrentProcessId, GetCurrentThread, GetCurrentThreadId, GetDateFormatA, GetDiskFreeSpaceA, GetEnvironmentStrings, GetExitCodeProcess, GetExitCodeThread, GetFileAttributesA, GetFileSize, GetFileType, GetFullPathNameA, GetLastError, GetLocalTime, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetOEMCP, GetPrivateProfileStringA, GetProcAddress, GetProcessHeap, GetProfileStringA, GetStartupInfoA, GetStdHandle, GetStringTypeExA, GetStringTypeW, GetSystemDefaultLCID, GetSystemDirectoryA, GetSystemInfo, GetSystemPowerStatus, GetSystemTime, GetTempFileNameA, GetTempPathA, GetThreadLocale, GetThreadPriority, GetTickCount, GetTimeZoneInformation, GetVersion, GetVersionExA, GetWindowsDirectoryA, GlobalAddAtomA, GlobalAlloc, GlobalDeleteAtom, GlobalFindAtomA, GlobalFree, GlobalHandle, GlobalLock, GlobalReAlloc, GlobalSize, GlobalUnlock, HeapAlloc, HeapFree, InitializeCriticalSection, InterlockedDecrement, InterlockedIncrement, LCMapStringA, LeaveCriticalSection, LoadLibraryA, LoadLibraryExA, LoadResource, LocalAlloc, LocalFree, LockResource, MulDiv, MultiByteToWideChar, OutputDebugStringA, QueryPerformanceCounter, QueryPerformanceFrequency, RaiseException, ReadFile, RemoveDirectoryA, ResetEvent, ResumeThread, RtlUnwind, SearchPathA, SetConsoleCtrlHandler, SetCurrentDirectoryA, SetEndOfFile, SetErrorMode, SetEvent, SetFilePointer, SetHandleCount, SetLastError, SetThreadLocale, SetThreadPriority, SizeofResource, Sleep, TerminateProcess, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualQuery, WaitForMultipleObjects, WaitForSingleObject, WideCharToMultiByte, WinExec, WriteFile, WritePrivateProfileStringA, lstrcatA, lstrcmpA, lstrcmpiA, lstrcpyA, lstrcpynA, lstrlenA > MPR.DLL: WNetCloseEnum, WNetEnumResourceA, WNetGetUniversalNameA, WNetOpenEnumA > VERSION.DLL: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA > WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, EnumPrintersA, OpenPrinterA > COMCTL32.DLL: ImageList_Add, ImageList_BeginDrag, ImageList_Create, ImageList_Destroy, ImageList_DragEnter, ImageList_DragLeave, ImageList_DragMove, ImageList_DragShowNolock, ImageList_Draw, ImageList_DrawEx, ImageList_EndDrag, ImageList_GetBkColor, ImageList_GetDragImage, ImageList_GetIcon, ImageList_GetIconSize, ImageList_GetImageCount, ImageList_Read, ImageList_Remove, ImageList_Replace, ImageList_ReplaceIcon, ImageList_SetBkColor, ImageList_SetDragCursorImage, ImageList_SetIconSize, ImageList_Write, - > COMDLG32.DLL: ChooseColorA > GDI32.DLL: Arc, BitBlt, CombineRgn, CopyEnhMetaFileA, CreateBitmap, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDCA, CreateDIBSection, CreateDIBitmap, CreateEllipticRgn, CreateFontA, CreateFontIndirectA, CreateHalftonePalette, CreateICA, CreatePalette, CreatePenIndirect, CreatePolygonRgn, CreateRectRgn, CreateRoundRectRgn, CreateSolidBrush, DPtoLP, DeleteDC, DeleteEnhMetaFile, DeleteObject, Ellipse, EndDoc, EndPage, EnumFontFamiliesA, ExcludeClipRect, ExtCreateRegion, ExtTextOutA, FillRgn, FrameRgn, GdiFlush, GetBitmapBits, GetBrushOrgEx, GetClipBox, GetClipRgn, GetCurrentPositionEx, GetDCOrgEx, GetDIBColorTable, GetDIBits, GetDeviceCaps, GetEnhMetaFileBits, GetEnhMetaFileHeader, GetEnhMetaFilePaletteEntries, GetMapMode, GetObjectA, GetPaletteEntries, GetPixel, GetRegionData, GetRgnBox, GetStockObject, GetSystemPaletteEntries, GetTextAlign, GetTextExtentPoint32A, GetTextExtentPointA, GetTextMetricsA, GetViewportOrgEx, GetWinMetaFileBits, GetWindowOrgEx, IntersectClipRect, LineTo, MaskBlt, MoveToEx, OffsetRgn, PatBlt, Pie, PlayEnhMetaFile, Polygon, Polyline, PtInRegion, RealizePalette, RectVisible, Rectangle, RestoreDC, RoundRect, SaveDC, SelectClipRgn, SelectObject, SelectPalette, SetAbortProc, SetBkColor, SetBkMode, SetBrushOrgEx, SetDIBColorTable, SetDIBits, SetDIBitsToDevice, SetEnhMetaFileBits, SetMapMode, SetPixel, SetROP2, SetStretchBltMode, SetTextAlign, SetTextColor, SetViewportOrgEx, SetWinMetaFileBits, SetWindowOrgEx, StartDocA, StartPage, StretchBlt, StretchDIBits, TextOutA, UnrealizeObject > SHELL32.DLL: SHFileOperationA, ShellExecuteA, ShellExecuteExA, Shell_NotifyIconA > USER32.DLL: ActivateKeyboardLayout, AdjustWindowRectEx, AttachThreadInput, BeginPaint, BroadcastSystemMessageA, CallNextHookEx, CallWindowProcA, CharLowerA, CharLowerBuffA, CharNextA, CharUpperA, CharUpperBuffA, CheckMenuItem, ChildWindowFromPoint, ClientToScreen, CloseClipboard, CopyImage, CreateIcon, CreateMenu, CreatePopupMenu, CreateWindowExA, DefFrameProcA, DefMDIChildProcA, DefWindowProcA, DeleteMenu, DestroyCursor, DestroyIcon, DestroyMenu, DestroyWindow, DispatchMessageA, DrawEdge, DrawFocusRect, DrawFrameControl, DrawIcon, DrawIconEx, DrawMenuBar, DrawTextA, EmptyClipboard, EnableMenuItem, EnableScrollBar, EnableWindow, EndPaint, EnumClipboardFormats, EnumThreadWindows, EnumWindows, EqualRect, FillRect, FindWindowA, FrameRect, GetActiveWindow, GetCapture, GetCaretPos, GetClassInfoA, GetClassNameA, GetClientRect, GetClipboardData, GetCursor, GetCursorPos, GetDC, GetDCEx, GetDesktopWindow, GetFocus, GetForegroundWindow, GetIconInfo, GetKeyNameTextA, GetKeyState, GetKeyboardLayout, GetKeyboardLayoutList, GetKeyboardState, GetKeyboardType, GetLastActivePopup, GetMenu, GetMenuItemCount, GetMenuItemID, GetMenuItemInfoA, GetMenuState, GetMenuStringA, GetMessageA, GetMessagePos, GetParent, GetPropA, GetScrollInfo, GetScrollPos, GetScrollRange, GetSubMenu, GetSysColorBrush, GetSystemMenu, GetSystemMetrics, GetTabbedTextExtentA, GetTopWindow, GetUpdateRect, GetWindow, GetWindowDC, GetWindowLongA, GetWindowPlacement, GetWindowRect, GetWindowRgn, GetWindowTextA, GetWindowThreadProcessId, HideCaret, InflateRect, InsertMenuA, InsertMenuItemA, IntersectRect, InvalidateRect, IsCharAlphaA, IsCharAlphaNumericA, IsChild, IsClipboardFormatAvailable, IsDialogMessageA, IsIconic, IsRectEmpty, IsWindow, IsWindowEnabled, IsWindowVisible, IsZoomed, KillTimer, LoadBitmapA, LoadCursorA, LoadIconA, LoadKeyboardLayoutA, LoadStringA, MapVirtualKeyA, MapWindowPoints, MessageBeep, MessageBoxA, MsgWaitForMultipleObjects, NotifyWinEvent, OemToCharA, OffsetRect, OpenClipboard, PeekMessageA, PostMessageA, PostQuitMessage, PtInRect, RedrawWindow, RegisterClassA, RegisterClipboardFormatA, RegisterDeviceNotificationA, RegisterWindowMessageA, ReleaseCapture, ReleaseDC, RemoveMenu, RemovePropA, ScreenToClient, ScrollWindow, SendMessageA, SetActiveWindow, SetCapture, SetClassLongA, SetClipboardData, SetCursor, SetCursorPos, SetFocus, SetForegroundWindow, SetKeyboardState, SetMenu, SetMenuItemInfoA, SetPropA, SetRect, SetScrollInfo, SetScrollPos, SetScrollRange, SetTimer, SetWindowLongA, SetWindowPlacement, SetWindowPos, SetWindowRgn, SetWindowTextA, SetWindowsHookExA, ShowCursor, ShowOwnedPopups, ShowScrollBar, ShowWindow, SubtractRect, SystemParametersInfoA, TabbedTextOutA, TrackPopupMenu, TranslateMDISysAccel, TranslateMessage, UnhookWindowsHookEx, UnregisterClassA, UnregisterDeviceNotification, UpdateWindow, WaitMessage, WinHelpA, WindowFromPoint, wsprintfA, GetSysColor > WINMM.DLL: mixerClose, mixerGetControlDetailsA, mixerGetDevCapsA, mixerGetID, mixerGetLineControlsA, mixerGetLineInfoA, mixerGetNumDevs, mixerOpen, mixerSetControlDetails, mmioAdvance, mmioAscend, mmioClose, mmioCreateChunk, mmioDescend, mmioGetInfo, mmioOpenA, mmioRead, mmioSeek, mmioSetInfo, mmioWrite, sndPlaySoundA, timeBeginPeriod, timeEndPeriod, timeGetTime, waveInGetDevCapsA, waveInGetNumDevs, waveInMessage, waveOutGetDevCapsA, waveOutGetNumDevs, waveOutMessage > OLE32.DLL: CoCreateInstance, CoInitialize, CoTaskMemFree, CoUninitialize, StringFromCLSID > OLEAUT32.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - ( 6125 exports ) [...] |
07.04.2009, 04:52 | #7 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Dann habe ich noch Advanced SystemCare ausgeführt und vorher, wie empfohlen, einen Systemwiederherstellungspunkt erstellt, nachdem ich vorher die Systemwiederherstellung deaktiviert hatte, um alle alten Systemwiederherstellungspunkte zu löschen. Und jetzt weiss ich nicht, was ich noch machen soll. Was mich noch irritiert: Das Desktophintergrundbild war auf einmal weg, aber da hatte ich gerade den Bildschirmschoner der Norman Security Suite ausgestellt, um die Scan-Programme nicht zu unterbrechen. Aber seitdem ich das Bild wieder eingestellt habe (zumindest kommt es mir so vor, dass so ein Zusammenhang bestehen könnte), wird zum einen die Beschriftung der Desktopsymbole nicht mehr farblich mit einem rechteckigen Rand unterlegt, sondern stattdessen haben die Buchstaben einen deutlichen schwarzen Schatten. Und, was ich fast noch merkwürdiger finde: Einige Programme, darunter mein Notepad, sehen auf einmal verändert aus. Die Auswahlmöglichkeiten >Datei< >Bearbeiten< >Format< >Ansicht< und >?< sind auf einmal mit einem weißen Rechteck hinterlegt, was auffällt, da der Rest ja hellgrau ist. Ich wäre Euch wirklich sehr dankbar, wenn Ihr meine Logfiles kommentieren könnten und mir Hinweise geben könntet, was ich noch alles versuchen könnte, um wieder alles sauber zu haben. Danke! |
07.04.2009, 15:05 | #8 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Hi, das sieht ja alles recht chaotisch aus, nicht einfach wild aus allen möglichen Threads irgendwelche Scripts/Lösungen ausprobieren... das richtet mehr Schaden an als das es nützt...Grrr Es wurden Sachen auf Laufwerk E gefunden, daher alles was seid der Infektion an den Rechner angeschlossen war (USB-Geräte mit Speicher, z.B. Festplatten, MP3-Player, Kameras, Sticks, ...) mit gedrückter Shift-Taste wieder anschließen. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Dr. Web und Rsit: Dannach im abgesicherten Modus noch Drweb CureIT reinigen lassen: http://freedrweb.com/?lng=de Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten! RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
07.04.2009, 19:54 | #9 | ||||
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Hi Chris, erst einmal vielen Dank, dass Du mir hilfst! Zitat:
Zitat:
Zitat:
Zitat:
Noch einmal Danke für Deine Hilfe! me. |
07.04.2009, 20:03 | #10 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Hi, den Schritt mit der Wiederherstellungskonsole kannst Du überspringen... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
08.04.2009, 14:12 | #11 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 So, weiter gehts. Combofix Code:
ATTFilter ComboFix 09-04-04.01 - *** 2009-04-07 21:12:32.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1014.549 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\gaopdxrxpssjgoyoulvviovmaqivuufymdcxen.dll d:\recycler\S-8-0-42-100030408-100022070-100017761-1921.com e:\recycler\S-8-0-42-100030408-100022070-100017761-1921.com f:\recycler\S-8-0-42-100030408-100022070-100017761-1921.com . ((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 )))))))))))))))))))))))))))))) . 2009-04-06 21:50 . 2009-04-06 21:50 6,144 --ahs---- c:\windows\Thumbs.db 2009-04-05 17:09 . 2009-04-05 17:09 <DIR> d-------- c:\programme\Advanced SystemCare 3 2009-04-05 17:09 . 2009-04-05 17:09 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\IObit 2009-04-05 16:01 . 2009-04-05 16:01 <DIR> d-------- c:\programme\SUPERAntiSpyware 2009-04-05 16:01 . 2009-04-05 16:01 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com 2009-04-05 16:01 . 2009-04-05 16:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-04-05 14:15 . 2009-04-05 14:15 <DIR> d--hs---- C:\FOUND.014 2009-04-05 09:00 . 2009-04-05 09:00 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-04-05 09:00 . 2009-04-06 15:32 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-05 09:00 . 2009-04-06 15:32 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-05 07:38 . 2009-04-05 07:38 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2009-04-05 01:06 . 2009-04-05 01:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-04-05 01:02 . 2009-04-05 01:02 <DIR> d-------- c:\programme\Autorun Eater 2009-04-03 02:33 . 2009-04-04 03:19 52 --a------ c:\windows\RTFContentCtrl.INI 2009-04-03 02:20 . 2009-04-03 02:20 <DIR> d-------- c:\programme\Chandler1.0.2 2009-04-03 02:20 . 2009-04-03 02:20 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Python-Eggs 2009-04-03 02:20 . 2009-04-03 02:21 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Open Source Applications Foundation 2009-04-03 02:07 . 2009-04-03 02:07 <DIR> d-------- c:\programme\EssentialPIM 2009-04-03 02:07 . 2009-04-03 02:07 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\EssentialPIM 2009-04-03 01:57 . 2009-04-03 01:57 <DIR> d-------- c:\programme\TaskCoach 2009-04-03 01:57 . 2009-04-03 01:57 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\TaskCoach 2009-04-03 01:48 . 2009-04-03 01:48 <DIR> d-------- c:\programme\Mozilla Sunbird 2009-04-03 01:48 . 2009-04-03 01:48 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Talkback 2009-04-03 01:37 . 2009-04-03 01:37 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\InstallShield Installation Information 2009-04-03 01:35 . 2009-04-03 01:35 <DIR> d-------- c:\programme\Evernote 2009-04-02 01:30 . 2009-04-02 01:30 <DIR> d-------- c:\programme\Rainlendar2 2009-03-29 15:55 . 2009-03-29 15:55 <DIR> d-------- c:\programme\PhonerLite 2009-03-26 20:47 . 2009-03-26 20:47 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\SparVoip 2009-03-26 20:46 . 2009-03-26 20:46 <DIR> d-------- c:\programme\SparVoip 2009-03-26 00:14 . 2009-03-26 00:14 <DIR> d-------- c:\programme\FontCreator 2009-03-26 00:14 . 2009-03-26 00:14 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\FontCreator 2009-03-25 23:54 . 1996-11-06 13:05 302,592 --a------ c:\windows\unin0407.exe 2009-03-25 23:36 . 2009-03-25 23:36 <DIR> d-------- c:\programme\EasyClean 2009-03-25 23:15 . 2009-03-25 23:15 <DIR> d-------- c:\programme\DateWizard 2009-03-25 23:15 . 2009-03-25 23:15 31 --a------ c:\windows\DateWiz.ini 2009-03-25 17:26 . 2009-03-25 17:26 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Skype 2009-03-25 17:25 . 2009-03-25 17:25 <DIR> dr------- c:\programme\Skype 2009-03-25 17:25 . 2009-03-25 17:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-03-20 13:16 . 2007-07-11 11:05 101,120 --a------ c:\windows\system32\drivers\ewusbmdm.sys 2009-03-20 13:16 . 2007-07-11 11:02 24,448 --a------ c:\windows\system32\drivers\ewdcsc.sys 2009-03-20 13:15 . 2009-03-20 13:15 <DIR> d-------- c:\programme\Mobile Connect . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-05 13:56 176 ----a-w c:\programme\tlrg.txt 2009-03-06 00:52 --------- d-----w c:\programme\ElcomSoft 2009-03-01 08:42 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\FileMaker 2009-02-27 12:19 --------- d-----w c:\programme\FormsForWebFiller3.0 2009-02-09 13:04 1,846,912 ----a-w c:\windows\system32\win32k.sys 2009-02-09 13:04 1,846,912 ------w c:\windows\system32\dllcache\win32k.sys 2009-01-16 19:01 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll 2008-12-05 07:51 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll 2008-12-05 07:51 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll 2008-12-05 07:51 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll 2008-12-05 07:51 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll 2008-12-05 07:51 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll 2008-06-09 21:10 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060220080609\index.dat 2008-06-09 21:10 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060920080610\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2008-08-24 4067328] "SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128] "Advanced SystemCare 3"="c:\programme\Advanced SystemCare 3\AWC.exe" [2009-02-22 2272592] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2008-03-04 360448] "TFncKy"="c:\programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe" [2007-12-18 475136] "NDSTray.exe"="c:\programme\TOSHIBA\ConfigFree\NDSTray.exe" [2006-03-16 974848] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-17 135168] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-17 159744] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-17 131072] "ACU"="c:\programme\Atheros\ACU.exe" [2008-01-26 450648] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000] "Norman ZANDA"="c:\programme\Norman\Npm\Bin\ZLH.EXE" [2009-02-11 187504] "NPCTray"="c:\programme\Norman\npc\bin\npc_tray.exe" [2007-09-17 126008] "TPSMain"="TPSMain.exe" [2007-10-15 c:\windows\system32\TPSMain.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 12:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.DIV3"= DivXc32.dll "vidc.DIV4"= DivXc32f.dll "msacm.divxa32"= DivXa32.acm [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] -ra------ 2007-03-01 10:37 2321600 c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WordPerfect Office 1215] --a------ 2004-04-20 16:04 733184 c:\programme\WordPerfect Office 12\Programs\Registration.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2005-05-03 19:43 69632 c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] --a------ 2008-01-29 16:47 16859648 c:\windows\RTHDCPL.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"= "c:\\Programme\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"= "c:\\WINDOWS\\System32\\dpvsetup.exe"= "c:\\Programme\\SparVoip\\SparVoip.exe"= "c:\\Programme\\PhonerLite\\PhonerLite.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "****:TCP"= ****:TCP:@xpsp2res.dll,-22009 "****:TCP"= ****:TCP:sipgate. [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944] R2 Ndiskio;Ndiskio;c:\programme\Norman\Nse\Bin\Ndiskio.sys [2008-07-19 20448] R2 NProtectService;Norton Unerase Protection;c:\programme\Norton Utilities\NPROTECT.EXE [2008-06-11 135168] R2 NVOY;Norman Resource Provider;c:\programme\Norman\Npm\Bin\nvoy.exe [2008-07-19 126008] R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592] R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [2008-06-06 5888] R3 NPC;Norman Parental Control;c:\programme\Norman\Npc\Bin\npcsvc32.exe [2008-07-19 416880] R3 nsesvc;Norman Scanner Engine Service;c:\programme\Norman\Nse\Bin\Nsesvc.exe [2009-01-28 183352] R3 NUAA;Norman User Activity Agent;c:\programme\Norman\Npc\Bin\nuaa.exe [2008-07-19 117816] R3 NvcMFlt;NvcMFlt;c:\windows\system32\drivers\nvcw32mf.sys [2008-07-19 19512] R3 nvcoas;Norman Virus Control on-access component;c:\programme\Norman\nvc\bin\Nvcoas.exe [2009-02-19 195640] R3 NVCScheduler;Norman Virus Control Scheduler;c:\programme\Norman\Npm\Bin\nvcsched.exe [2008-07-19 154680] R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54 MBit/s USB 2.0 Netzwerkadapter;c:\windows\system32\drivers\RTL8187B.sys [2008-06-06 288000] R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408] R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-06-06 57408] S0 gotylcso;gotylcso;c:\windows\system32\drivers\xilnfz.sys --> c:\windows\system32\drivers\xilnfz.sys [?] S0 pfpc;pfpc;c:\windows\system32\drivers\edfvpvh.sys --> c:\windows\system32\drivers\edfvpvh.sys [?] S0 vvkaf;vvkaf;c:\windows\system32\drivers\sjdvt.sys --> c:\windows\system32\drivers\sjdvt.sys [?] S0 yxrgkte;yxrgkte;c:\windows\system32\drivers\jsgac.sys --> c:\windows\system32\drivers\jsgac.sys [?] S1 NGS;Norman General Security Driver;c:\programme\Norman\Ngs\Bin\ngs.sys [2009-02-28 22712] S3 A_ALL1683;ALL1683;c:\windows\system32\drivers\ALL1683.sys [2002-10-24 14342] S3 HppeIl;HppeIl;c:\windows\system32\HppeIl.sys [2008-06-07 7699] S3 npcpLoad;netPCphone;c:\windows\system32\drivers\npcpLoad.Sys [2008-07-13 19528] S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\PLCNDIS5.SYS [2002-10-24 17018] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - mchInjDrv [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{655c3b00-154a-11de-b400-001644bb43e6}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{655c3b01-154a-11de-b400-001644bb43e6}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67554-1548-11de-b3ff-001644bb43e6}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67555-1548-11de-b3ff-001644bb43e6}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67556-1548-11de-b3ff-001644bb43e6}] \Shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67557-1548-11de-b3ff-001644bb43e6}] \Shell\AutoRun\command - H:\AutoRun.exe . Inhalt des "geplante Tasks" Ordners 2009-04-07 c:\windows\Tasks\MP Scheduled Scan.job - c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank LSP: c:\programme\Norman\npc\bin\nlf.dll DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\695c2xrb.default\ FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-07 21:14:33 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1028) c:\programme\SUPERAntiSpyware\SASWINLO.dll . Zeit der Fertigstellung: 2009-04-07 21:15:55 ComboFix-quarantined-files.txt 2009-04-07 19:15:54 Vor Suchlauf: 1.764.548.608 Bytes frei Nach Suchlauf: 1,723,342,848 Bytes frei 210 --- E O F --- 2009-03-26 19:52:25 |
08.04.2009, 14:20 | #12 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Dr. Web Teil 1 Code:
ATTFilter ============================================================================= Dr.Web Scanner für Windows v5.00.3 (5.00.3.03240) © Igor Daniloff, 1992-2009. Alle Rechte vorbehalten. Log erstellt am: 2009-04-07, 21:27:15 [***][***] Kommandozeile: "D:\Tmp\RarSFX0\setup.exe" /lng:de-cureit.dwl /ini:setup_XP.ini Betriebssystem: Windows XP Professional x86 (Build 2600), Service Pack 3 ============================================================================= Engine-Version: 5.00 (5.00.0.12182) API-Version: 2.02 [Virendatenbank] D:\Tmp\RarSFX0\9f51aa1f - 948 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\fef26ac2 - 3254 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\6db86338 - 5241 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\a9461f8f - 7585 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\5315ad58 - 5310 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\48641057 - 5947 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\3ee4de79 - 6039 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\a445397c - 5309 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\dcb480a7 - 3511 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\3ab9c8fb - 2495 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\cabaea62 - 4565 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\9ee92eed - 4467 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\b87cfa26 - 5196 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\2404fa96 - 2359 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\e3617afc - 1938 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\02c69d0d - 3335 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\b7002b25 - 3185 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\b7c05f78 - 1468 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\0bf9b63a - 280 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\1da9b457 - 567 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\b2c5ba1a - 1194 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\3f075665 - 423328 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\02930797 - 286 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\b8e536ce - 626 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\fa279c62 - 178 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\1a394acb - 925 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\ce3c91d2 - 840 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\56f685e8 - 3316 Virensignaturen [Virendatenbank] D:\Tmp\RarSFX0\8e4c94e3 - 19303 Virensignaturen Gesamtzahl der Virensignaturen: 522995 [Selbstüberprüfung] D:\Tmp\RarSFX0\setup.exe Lizenzschlüsseldatei: D:\Tmp\RarSFX0\setup.key Lizenzchlüsselnummer: 0010537607 Registriert für:: A User Aktivierungsdatum des Lizenzschlüssels:: 2008-12-05 Ablaufdatum des Lizenzschlüssels:: 2009-06-07 Speichervorgang: System:4 - OK Speichervorgang: \SystemRoot\System32\smss.exe:176 - OK Speichervorgang: \??\C:\WINDOWS\system32\csrss.exe:232 - OK Speichervorgang: \??\C:\WINDOWS\system32\winlogon.exe:256 - OK Speichervorgang: C:\WINDOWS\system32\services.exe:300 - OK Speichervorgang: C:\WINDOWS\system32\lsass.exe:312 - OK Speichervorgang: C:\WINDOWS\system32\svchost.exe:460 - OK Speichervorgang: C:\WINDOWS\system32\svchost.exe:520 - OK Speichervorgang: C:\WINDOWS\system32\svchost.exe:584 - OK Speichervorgang: C:\WINDOWS\Explorer.EXE:828 - OK Speichervorgang: E:\download\launch.exe:996 - OK Speichervorgang: D:\Tmp\RarSFX0\_start.exe:1048 - OK Speichervorgang: D:\Tmp\RarSFX0\setup.exe:1064 - OK [Speicherscannen] Keine Viren gefunden Master Boot Record HDD1 - OK Active Boot Sector HDD1 - OK [Scanpfad] c:\dokumente und einstellungen\administrator\startmenü\programme\autostart\desktop.ini c:\dokumente und einstellungen\administrator\startmenü\programme\autostart\desktop.ini - OK [Scanpfad] c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini - OK [Scanpfad] c:\dokumente und einstellungen\default user\startmenü\programme\autostart\desktop.ini c:\dokumente und einstellungen\default user\startmenü\programme\autostart\desktop.ini - OK [Scanpfad] c:\dokumente und einstellungen\***\startmenü\programme\autostart\desktop.ini c:\dokumente und einstellungen\***\startmenü\programme\autostart\desktop.ini - OK [Scanpfad] c:\programme\advanced systemcare 3\awc.exe c:\programme\advanced systemcare 3\awc.exe gepackt von ZLIB >c:\programme\advanced systemcare 3\awc.exe - Archiv BINARYRES >>c:\programme\advanced systemcare 3\awc.exe/data001 - OK >>c:\programme\advanced systemcare 3\awc.exe/data002 - OK >c:\programme\advanced systemcare 3\awc.exe - OK [Scanpfad] c:\programme\atheros\acu.exe c:\programme\atheros\acu.exe - OK [Scanpfad] c:\programme\clickie\clickie.dll c:\programme\clickie\clickie.dll - OK [Scanpfad] c:\programme\fontcreator\fontcreatorext.dll c:\programme\fontcreator\fontcreatorext.dll gepackt von PESTUB >c:\programme\fontcreator\fontcreatorext.dll gepackt von ZLIB >>c:\programme\fontcreator\fontcreatorext.dll - Archiv BINARYRES >>>c:\programme\fontcreator\fontcreatorext.dll/data001 - OK >>c:\programme\fontcreator\fontcreatorext.dll - OK [Scanpfad] c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe - OK [Scanpfad] c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelper.dll c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelper.dll - OK [Scanpfad] c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.deu c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.deu - OK [Scanpfad] c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll - OK [Scanpfad] c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma.cpl c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma.cpl - OK [Scanpfad] c:\programme\gemeinsame dateien\microsoft shared\dw\dwtrig20.exe c:\programme\gemeinsame dateien\microsoft shared\dw\dwtrig20.exe - OK [Scanpfad] c:\programme\gemeinsame dateien\microsoft shared\speech\sapi.cpl c:\programme\gemeinsame dateien\microsoft shared\speech\sapi.cpl - OK [Scanpfad] c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll - OK [Scanpfad] c:\programme\gemeinsame dateien\system\ole db\oledb32.dll c:\programme\gemeinsame dateien\system\ole db\oledb32.dll - OK [Scanpfad] c:\programme\lavasoft\ad-aware 2007\aawservice.exe c:\programme\lavasoft\ad-aware 2007\aawservice.exe - OK [Scanpfad] c:\programme\messenger\msmsgs.exe c:\programme\messenger\msmsgs.exe - OK [Scanpfad] c:\programme\microsoft office\office\olkfstub.dll c:\programme\microsoft office\office\olkfstub.dll - OK [Scanpfad] c:\programme\norman\ngs\bin\ngs.sys c:\programme\norman\ngs\bin\ngs.sys - OK [Scanpfad] c:\programme\norman\npc\bin\nlf.dll c:\programme\norman\npc\bin\nlf.dll - OK [Scanpfad] c:\programme\norman\npc\bin\npc_tray.exe c:\programme\norman\npc\bin\npc_tray.exe - OK [Scanpfad] c:\programme\norman\npc\bin\npcsvc32.exe c:\programme\norman\npc\bin\npcsvc32.exe - OK [Scanpfad] c:\programme\norman\npc\bin\nuaa.exe c:\programme\norman\npc\bin\nuaa.exe - OK [Scanpfad] c:\programme\norman\npm\bin\elogsvc.exe c:\programme\norman\npm\bin\elogsvc.exe - OK [Scanpfad] c:\programme\norman\npm\bin\njeeves.exe c:\programme\norman\npm\bin\njeeves.exe - OK [Scanpfad] c:\programme\norman\npm\bin\nvcsched.exe c:\programme\norman\npm\bin\nvcsched.exe - OK [Scanpfad] c:\programme\norman\npm\bin\nvoy.exe c:\programme\norman\npm\bin\nvoy.exe - OK [Scanpfad] c:\programme\norman\npm\bin\zanda.exe c:\programme\norman\npm\bin\zanda.exe wahrscheinlich infiziert mit BACKDOOR.Trojan [Scanpfad] c:\programme\norman\npm\bin\zlh.exe c:\programme\norman\npm\bin\zlh.exe - OK [Scanpfad] c:\programme\norman\nse\bin\ndiskio.sys c:\programme\norman\nse\bin\ndiskio.sys - OK [Scanpfad] c:\programme\norman\nse\bin\nsesvc.exe c:\programme\norman\nse\bin\nsesvc.exe - OK [Scanpfad] c:\programme\norman\nvc\bin\nvcoas.exe c:\programme\norman\nvc\bin\nvcoas.exe - OK [Scanpfad] c:\programme\norton utilities\nprotect.exe c:\programme\norton utilities\nprotect.exe - OK [Scanpfad] c:\programme\outlook express\setup50.exe c:\programme\outlook express\setup50.exe - OK [Scanpfad] c:\programme\outlook express\wabfind.dll c:\programme\outlook express\wabfind.dll - OK [Scanpfad] c:\programme\rainlendar2\rainlendar2.exe c:\programme\rainlendar2\rainlendar2.exe - OK [Scanpfad] c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll - OK [Scanpfad] c:\programme\speed disk\nopdb.exe c:\programme\speed disk\nopdb.exe - OK [Scanpfad] c:\programme\superantispyware\sasdifsv.sys c:\programme\superantispyware\sasdifsv.sys - OK [Scanpfad] c:\programme\superantispyware\sasenum.sys c:\programme\superantispyware\sasenum.sys - OK [Scanpfad] c:\programme\superantispyware\saskutil.sys c:\programme\superantispyware\saskutil.sys - OK [Scanpfad] c:\programme\superantispyware\sasseh.dll c:\programme\superantispyware\sasseh.dll - OK [Scanpfad] c:\programme\superantispyware\saswinlo.dll c:\programme\superantispyware\saswinlo.dll - OK [Scanpfad] c:\programme\superantispyware\superantispyware.exe c:\programme\superantispyware\superantispyware.exe - OK [Scanpfad] c:\programme\symantec\symevent.sys c:\programme\symantec\symevent.sys - OK [Scanpfad] c:\programme\synaptics\syntp\syntpcpl.dll c:\programme\synaptics\syntp\syntpcpl.dll - OK [Scanpfad] c:\programme\synaptics\syntp\syntpenh.exe c:\programme\synaptics\syntp\syntpenh.exe - OK [Scanpfad] c:\programme\toshiba\configfree\cfsvcs.exe c:\programme\toshiba\configfree\cfsvcs.exe - OK [Scanpfad] c:\programme\toshiba\configfree\ndstray.exe c:\programme\toshiba\configfree\ndstray.exe - OK [Scanpfad] c:\programme\toshiba\toshiba applet\tappsrv.exe c:\programme\toshiba\toshiba applet\tappsrv.exe - OK [Scanpfad] c:\programme\toshiba\toshiba applet\thotkey.exe c:\programme\toshiba\toshiba applet\thotkey.exe - OK [Scanpfad] c:\programme\toshiba\toshiba controls\tfncky.exe c:\programme\toshiba\toshiba controls\tfncky.exe - OK [Scanpfad] c:\programme\toshiba\toshiba controls\toshsrv.cpl c:\programme\toshiba\toshiba controls\toshsrv.cpl - OK [Scanpfad] c:\programme\windows defender\mpcmdrun.exe c:\programme\windows defender\mpcmdrun.exe - OK [Scanpfad] c:\programme\windows defender\mpshhook.dll c:\programme\windows defender\mpshhook.dll - OK [Scanpfad] c:\programme\windows defender\msmpeng.exe c:\programme\windows defender\msmpeng.exe - OK [Scanpfad] c:\programme\windows media player\wmpnetwk.exe c:\programme\windows media player\wmpnetwk.exe - OK [Scanpfad] c:\programme\winrar\rarext.dll c:\programme\winrar\rarext.dll - OK [Scanpfad] c:\windows\apppatch\acadproc.dll c:\windows\apppatch\acadproc.dll - OK [Scanpfad] c:\windows\apppatch\acgenral.dll c:\windows\apppatch\acgenral.dll - OK [Scanpfad] c:\windows\downloaded program files\ipsuploader4.ocx c:\windows\downloaded program files\ipsuploader4.ocx - OK [Scanpfad] c:\windows\explorer.exe c:\windows\explorer.exe - OK [Scanpfad] c:\windows\inf\msmsgs.inf c:\windows\inf\msmsgs.inf - OK [Scanpfad] c:\windows\inf\msnetmtg.inf c:\windows\inf\msnetmtg.inf - OK [Scanpfad] c:\windows\inf\unregmp2.exe c:\windows\inf\unregmp2.exe - OK [Scanpfad] c:\windows\inf\wmp11.inf c:\windows\inf\wmp11.inf - OK [Scanpfad] c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe - OK [Scanpfad] c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe - OK [Scanpfad] c:\windows\msagent\agentpsh.dll c:\windows\msagent\agentpsh.dll - OK [Scanpfad] c:\windows\network diagnostic\xpnetdiag.exe c:\windows\network diagnostic\xpnetdiag.exe - OK [Scanpfad] c:\windows\pchealth\helpctr\binaries\pchsvc.dll c:\windows\pchealth\helpctr\binaries\pchsvc.dll - OK [Scanpfad] c:\windows\system32\acs.exe c:\windows\system32\acs.exe - OK [Scanpfad] c:\windows\system32\advapi32.dll c:\windows\system32\advapi32.dll - OK [Scanpfad] c:\windows\system32\advpack.dll c:\windows\system32\advpack.dll - OK [Scanpfad] c:\windows\system32\alg.exe c:\windows\system32\alg.exe - OK [Scanpfad] c:\windows\system32\alrsvc.dll c:\windows\system32\alrsvc.dll - OK [Scanpfad] c:\windows\system32\apphelp.dll c:\windows\system32\apphelp.dll - OK [Scanpfad] c:\windows\system32\appmgmts.dll c:\windows\system32\appmgmts.dll - OK [Scanpfad] c:\windows\system32\appwiz.cpl c:\windows\system32\appwiz.cpl - OK [Scanpfad] c:\windows\system32\atl.dll c:\windows\system32\atl.dll - OK [Scanpfad] c:\windows\system32\audiodev.dll c:\windows\system32\audiodev.dll gepackt von PESTUB >c:\windows\system32\audiodev.dll - OK [Scanpfad] c:\windows\system32\audiosrv.dll c:\windows\system32\audiosrv.dll - OK [Scanpfad] c:\windows\system32\authz.dll c:\windows\system32\authz.dll - OK [Scanpfad] c:\windows\system32\autochk.exe c:\windows\system32\autochk.exe - OK [Scanpfad] c:\windows\system32\basesrv.dll c:\windows\system32\basesrv.dll - OK [Scanpfad] c:\windows\system32\browselc.dll c:\windows\system32\browselc.dll gepackt von ZLIB >c:\windows\system32\browselc.dll - Archiv BINARYRES >>c:\windows\system32\browselc.dll/data001 - OK >c:\windows\system32\browselc.dll - OK [Scanpfad] c:\windows\system32\browser.dll c:\windows\system32\browser.dll - OK [Scanpfad] c:\windows\system32\browseui.dll c:\windows\system32\browseui.dll - OK [Scanpfad] c:\windows\system32\cabview.dll c:\windows\system32\cabview.dll - OK [Scanpfad] c:\windows\system32\certcli.dll c:\windows\system32\certcli.dll - OK [Scanpfad] c:\windows\system32\cisvc.exe c:\windows\system32\cisvc.exe - OK [Scanpfad] c:\windows\system32\clbcatq.dll c:\windows\system32\clbcatq.dll - OK [Scanpfad] c:\windows\system32\clipsrv.exe c:\windows\system32\clipsrv.exe - OK [Scanpfad] c:\windows\system32\cnbjmon.dll c:\windows\system32\cnbjmon.dll - OK [Scanpfad] c:\windows\system32\comctl32.dll c:\windows\system32\comctl32.dll - OK [Scanpfad] c:\windows\system32\comdlg32.dll c:\windows\system32\comdlg32.dll - OK [Scanpfad] c:\windows\system32\comres.dll c:\windows\system32\comres.dll - OK [Scanpfad] c:\windows\system32\config\systemprofile\startmenü\programme\autostart\desktop.ini c:\windows\system32\config\systemprofile\startmenü\programme\autostart\desktop.ini - OK [Scanpfad] c:\windows\system32\credui.dll c:\windows\system32\credui.dll - OK [Scanpfad] c:\windows\system32\crypt32.dll c:\windows\system32\crypt32.dll - OK [Scanpfad] c:\windows\system32\cryptdll.dll c:\windows\system32\cryptdll.dll - OK [Scanpfad] c:\windows\system32\cryptext.dll c:\windows\system32\cryptext.dll - OK [Scanpfad] c:\windows\system32\cryptnet.dll c:\windows\system32\cryptnet.dll - OK [Scanpfad] c:\windows\system32\cryptsvc.dll c:\windows\system32\cryptsvc.dll - OK [Scanpfad] c:\windows\system32\cryptui.dll c:\windows\system32\cryptui.dll - OK [Scanpfad] c:\windows\system32\cscdll.dll c:\windows\system32\cscdll.dll - OK [Scanpfad] c:\windows\system32\cscui.dll c:\windows\system32\cscui.dll - OK [Scanpfad] c:\windows\system32\csrsrv.dll c:\windows\system32\csrsrv.dll - OK [Scanpfad] c:\windows\system32\csrss.exe c:\windows\system32\csrss.exe - OK [Scanpfad] c:\windows\system32\ctfmon.exe c:\windows\system32\ctfmon.exe - OK [Scanpfad] c:\windows\system32\davclnt.dll c:\windows\system32\davclnt.dll - OK [Scanpfad] c:\windows\system32\deskadp.dll c:\windows\system32\deskadp.dll - OK [Scanpfad] c:\windows\system32\deskmon.dll c:\windows\system32\deskmon.dll - OK [Scanpfad] c:\windows\system32\deskperf.dll c:\windows\system32\deskperf.dll - OK [Scanpfad] c:\windows\system32\dfshim.dll c:\windows\system32\dfshim.dll - OK [Scanpfad] c:\windows\system32\dfsshlex.dll c:\windows\system32\dfsshlex.dll - OK [Scanpfad] c:\windows\system32\dhcpcsvc.dll c:\windows\system32\dhcpcsvc.dll - OK [Scanpfad] c:\windows\system32\digest.dll c:\windows\system32\digest.dll - OK [Scanpfad] c:\windows\system32\dimsntfy.dll c:\windows\system32\dimsntfy.dll - OK [Scanpfad] c:\windows\system32\diskcopy.dll c:\windows\system32\diskcopy.dll - OK [Scanpfad] c:\windows\system32\dllhost.exe c:\windows\system32\dllhost.exe - OK [Scanpfad] c:\windows\system32\dmadmin.exe c:\windows\system32\dmadmin.exe - OK [Scanpfad] c:\windows\system32\dmserver.dll c:\windows\system32\dmserver.dll - OK [Scanpfad] c:\windows\system32\dnsapi.dll c:\windows\system32\dnsapi.dll - OK [Scanpfad] c:\windows\system32\dnsrslvr.dll c:\windows\system32\dnsrslvr.dll - OK [Scanpfad] c:\windows\system32\docprop.dll c:\windows\system32\docprop.dll - OK [Scanpfad] c:\windows\system32\docprop2.dll c:\windows\system32\docprop2.dll - OK [Scanpfad] c:\windows\system32\dot3api.dll c:\windows\system32\dot3api.dll - OK [Scanpfad] c:\windows\system32\dot3dlg.dll c:\windows\system32\dot3dlg.dll - OK [Scanpfad] c:\windows\system32\dot3gpclnt.dll c:\windows\system32\dot3gpclnt.dll - OK [Scanpfad] c:\windows\system32\dot3svc.dll c:\windows\system32\dot3svc.dll - OK |
08.04.2009, 14:22 | #13 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Teil 2 Code:
ATTFilter [Scanpfad] c:\windows\system32\drivers\acpi.sys c:\windows\system32\drivers\acpi.sys - OK [Scanpfad] c:\windows\system32\drivers\acpiec.sys c:\windows\system32\drivers\acpiec.sys - OK [Scanpfad] c:\windows\system32\drivers\aec.sys c:\windows\system32\drivers\aec.sys - OK [Scanpfad] c:\windows\system32\drivers\afd.sys c:\windows\system32\drivers\afd.sys - OK [Scanpfad] c:\windows\system32\drivers\all1683.sys c:\windows\system32\drivers\all1683.sys - OK [Scanpfad] c:\windows\system32\drivers\asyncmac.sys c:\windows\system32\drivers\asyncmac.sys - OK [Scanpfad] c:\windows\system32\drivers\atapi.sys c:\windows\system32\drivers\atapi.sys - OK [Scanpfad] c:\windows\system32\drivers\atmarpc.sys c:\windows\system32\drivers\atmarpc.sys - OK [Scanpfad] c:\windows\system32\drivers\audstub.sys c:\windows\system32\drivers\audstub.sys - OK [Scanpfad] c:\windows\system32\drivers\beep.sys c:\windows\system32\drivers\beep.sys - OK [Scanpfad] c:\windows\system32\drivers\cdaudio.sys c:\windows\system32\drivers\cdaudio.sys - OK [Scanpfad] c:\windows\system32\drivers\cdrom.sys c:\windows\system32\drivers\cdrom.sys - OK [Scanpfad] c:\windows\system32\drivers\cmbatt.sys c:\windows\system32\drivers\cmbatt.sys - OK [Scanpfad] c:\windows\system32\drivers\compbatt.sys c:\windows\system32\drivers\compbatt.sys - OK [Scanpfad] c:\windows\system32\drivers\disk.sys c:\windows\system32\drivers\disk.sys - OK [Scanpfad] c:\windows\system32\drivers\dmboot.sys c:\windows\system32\drivers\dmboot.sys - OK [Scanpfad] c:\windows\system32\drivers\dmio.sys c:\windows\system32\drivers\dmio.sys - OK [Scanpfad] c:\windows\system32\drivers\dmload.sys c:\windows\system32\drivers\dmload.sys - OK [Scanpfad] c:\windows\system32\drivers\dmusic.sys c:\windows\system32\drivers\dmusic.sys - OK [Scanpfad] c:\windows\system32\drivers\drmkaud.sys c:\windows\system32\drivers\drmkaud.sys - OK [Scanpfad] c:\windows\system32\drivers\ewusbmdm.sys c:\windows\system32\drivers\ewusbmdm.sys - OK [Scanpfad] c:\windows\system32\drivers\fdc.sys c:\windows\system32\drivers\fdc.sys - OK [Scanpfad] c:\windows\system32\drivers\fips.sys c:\windows\system32\drivers\fips.sys - OK [Scanpfad] c:\windows\system32\drivers\flpydisk.sys c:\windows\system32\drivers\flpydisk.sys - OK [Scanpfad] c:\windows\system32\drivers\fltmgr.sys c:\windows\system32\drivers\fltmgr.sys - OK [Scanpfad] c:\windows\system32\drivers\fs_rec.sys c:\windows\system32\drivers\fs_rec.sys - OK [Scanpfad] c:\windows\system32\drivers\ftdisk.sys c:\windows\system32\drivers\ftdisk.sys - OK [Scanpfad] c:\windows\system32\drivers\fwlnk.sys c:\windows\system32\drivers\fwlnk.sys - OK [Scanpfad] c:\windows\system32\drivers\hdaudbus.sys c:\windows\system32\drivers\hdaudbus.sys - OK [Scanpfad] c:\windows\system32\drivers\hidusb.sys c:\windows\system32\drivers\hidusb.sys - OK [Scanpfad] c:\windows\system32\drivers\hsf_cnxt.sys c:\windows\system32\drivers\hsf_cnxt.sys - OK [Scanpfad] c:\windows\system32\drivers\hsf_dpv.sys c:\windows\system32\drivers\hsf_dpv.sys - OK [Scanpfad] c:\windows\system32\drivers\hsfhwazl.sys c:\windows\system32\drivers\hsfhwazl.sys - OK [Scanpfad] c:\windows\system32\drivers\http.sys c:\windows\system32\drivers\http.sys - OK [Scanpfad] c:\windows\system32\drivers\i8042prt.sys c:\windows\system32\drivers\i8042prt.sys - OK [Scanpfad] c:\windows\system32\drivers\igxpmp32.sys c:\windows\system32\drivers\igxpmp32.sys - OK [Scanpfad] c:\windows\system32\drivers\imapi.sys c:\windows\system32\drivers\imapi.sys - OK [Scanpfad] c:\windows\system32\drivers\intelppm.sys c:\windows\system32\drivers\intelppm.sys - OK [Scanpfad] c:\windows\system32\drivers\ip6fw.sys c:\windows\system32\drivers\ip6fw.sys - OK [Scanpfad] c:\windows\system32\drivers\ipfltdrv.sys c:\windows\system32\drivers\ipfltdrv.sys - OK [Scanpfad] c:\windows\system32\drivers\ipinip.sys c:\windows\system32\drivers\ipinip.sys - OK [Scanpfad] c:\windows\system32\drivers\ipnat.sys c:\windows\system32\drivers\ipnat.sys - OK [Scanpfad] c:\windows\system32\drivers\ipsec.sys c:\windows\system32\drivers\ipsec.sys - OK [Scanpfad] c:\windows\system32\drivers\irenum.sys c:\windows\system32\drivers\irenum.sys - OK [Scanpfad] c:\windows\system32\drivers\isapnp.sys c:\windows\system32\drivers\isapnp.sys - OK [Scanpfad] c:\windows\system32\drivers\kbdclass.sys c:\windows\system32\drivers\kbdclass.sys - OK [Scanpfad] c:\windows\system32\drivers\kbdhid.sys c:\windows\system32\drivers\kbdhid.sys - OK [Scanpfad] c:\windows\system32\drivers\kmixer.sys c:\windows\system32\drivers\kmixer.sys - OK [Scanpfad] c:\windows\system32\drivers\ksecdd.sys c:\windows\system32\drivers\ksecdd.sys - OK [Scanpfad] c:\windows\system32\drivers\mdmxsdk.sys c:\windows\system32\drivers\mdmxsdk.sys - OK [Scanpfad] c:\windows\system32\drivers\mnmdd.sys c:\windows\system32\drivers\mnmdd.sys - OK [Scanpfad] c:\windows\system32\drivers\mouclass.sys c:\windows\system32\drivers\mouclass.sys - OK [Scanpfad] c:\windows\system32\drivers\mouhid.sys c:\windows\system32\drivers\mouhid.sys - OK [Scanpfad] c:\windows\system32\drivers\mountmgr.sys c:\windows\system32\drivers\mountmgr.sys - OK [Scanpfad] c:\windows\system32\drivers\mrxdav.sys c:\windows\system32\drivers\mrxdav.sys - OK [Scanpfad] c:\windows\system32\drivers\mrxsmb.sys c:\windows\system32\drivers\mrxsmb.sys - OK [Scanpfad] c:\windows\system32\drivers\msfs.sys c:\windows\system32\drivers\msfs.sys - OK [Scanpfad] c:\windows\system32\drivers\msgpc.sys c:\windows\system32\drivers\msgpc.sys - OK [Scanpfad] c:\windows\system32\drivers\mskssrv.sys c:\windows\system32\drivers\mskssrv.sys - OK [Scanpfad] c:\windows\system32\drivers\mspclock.sys c:\windows\system32\drivers\mspclock.sys - OK [Scanpfad] c:\windows\system32\drivers\mspqm.sys c:\windows\system32\drivers\mspqm.sys - OK [Scanpfad] c:\windows\system32\drivers\mssmbios.sys c:\windows\system32\drivers\mssmbios.sys - OK [Scanpfad] c:\windows\system32\drivers\mup.sys c:\windows\system32\drivers\mup.sys - OK [Scanpfad] c:\windows\system32\drivers\ndis.sys c:\windows\system32\drivers\ndis.sys - OK [Scanpfad] c:\windows\system32\drivers\ndistapi.sys c:\windows\system32\drivers\ndistapi.sys - OK [Scanpfad] c:\windows\system32\drivers\ndisuio.sys c:\windows\system32\drivers\ndisuio.sys - OK [Scanpfad] c:\windows\system32\drivers\ndiswan.sys c:\windows\system32\drivers\ndiswan.sys - OK [Scanpfad] c:\windows\system32\drivers\netbios.sys c:\windows\system32\drivers\netbios.sys - OK [Scanpfad] c:\windows\system32\drivers\netbt.sys c:\windows\system32\drivers\netbt.sys - OK [Scanpfad] c:\windows\system32\drivers\netdevio.sys c:\windows\system32\drivers\netdevio.sys - OK [Scanpfad] c:\windows\system32\drivers\npcpload.sys c:\windows\system32\drivers\npcpload.sys - OK [Scanpfad] c:\windows\system32\drivers\npdriver.sys c:\windows\system32\drivers\npdriver.sys - OK [Scanpfad] c:\windows\system32\drivers\npfs.sys c:\windows\system32\drivers\npfs.sys - OK [Scanpfad] c:\windows\system32\drivers\null.sys c:\windows\system32\drivers\null.sys - OK [Scanpfad] c:\windows\system32\drivers\nvcw32mf.sys c:\windows\system32\drivers\nvcw32mf.sys - OK [Scanpfad] c:\windows\system32\drivers\nwlnkflt.sys c:\windows\system32\drivers\nwlnkflt.sys - OK [Scanpfad] c:\windows\system32\drivers\nwlnkfwd.sys c:\windows\system32\drivers\nwlnkfwd.sys - OK [Scanpfad] c:\windows\system32\drivers\partmgr.sys c:\windows\system32\drivers\partmgr.sys - OK [Scanpfad] c:\windows\system32\drivers\pci.sys c:\windows\system32\drivers\pci.sys - OK [Scanpfad] c:\windows\system32\drivers\pciide.sys c:\windows\system32\drivers\pciide.sys - OK [Scanpfad] c:\windows\system32\drivers\processr.sys c:\windows\system32\drivers\processr.sys - OK [Scanpfad] c:\windows\system32\drivers\psched.sys c:\windows\system32\drivers\psched.sys - OK [Scanpfad] c:\windows\system32\drivers\ptilink.sys c:\windows\system32\drivers\ptilink.sys - OK [Scanpfad] c:\windows\system32\drivers\rasacd.sys c:\windows\system32\drivers\rasacd.sys - OK [Scanpfad] c:\windows\system32\drivers\rasl2tp.sys c:\windows\system32\drivers\rasl2tp.sys - OK [Scanpfad] c:\windows\system32\drivers\raspppoe.sys c:\windows\system32\drivers\raspppoe.sys - OK [Scanpfad] c:\windows\system32\drivers\raspptp.sys c:\windows\system32\drivers\raspptp.sys - OK [Scanpfad] c:\windows\system32\drivers\raspti.sys c:\windows\system32\drivers\raspti.sys - OK [Scanpfad] c:\windows\system32\drivers\rdbss.sys c:\windows\system32\drivers\rdbss.sys - OK [Scanpfad] c:\windows\system32\drivers\rdpcdd.sys c:\windows\system32\drivers\rdpcdd.sys - OK [Scanpfad] c:\windows\system32\drivers\rdpdr.sys c:\windows\system32\drivers\rdpdr.sys - OK [Scanpfad] c:\windows\system32\drivers\rdpwd.sys c:\windows\system32\drivers\rdpwd.sys - OK [Scanpfad] c:\windows\system32\drivers\redbook.sys c:\windows\system32\drivers\redbook.sys - OK [Scanpfad] c:\windows\system32\drivers\rtenicxp.sys c:\windows\system32\drivers\rtenicxp.sys - OK [Scanpfad] c:\windows\system32\drivers\rtkhdaud.sys c:\windows\system32\drivers\rtkhdaud.sys - OK [Scanpfad] c:\windows\system32\drivers\rtl8187b.sys c:\windows\system32\drivers\rtl8187b.sys - OK [Scanpfad] c:\windows\system32\drivers\scsiport.sys c:\windows\system32\drivers\scsiport.sys - OK [Scanpfad] c:\windows\system32\drivers\secdrv.sys c:\windows\system32\drivers\secdrv.sys - OK [Scanpfad] c:\windows\system32\drivers\sfloppy.sys c:\windows\system32\drivers\sfloppy.sys - OK [Scanpfad] c:\windows\system32\drivers\splitter.sys c:\windows\system32\drivers\splitter.sys - OK [Scanpfad] c:\windows\system32\drivers\sr.sys c:\windows\system32\drivers\sr.sys - OK [Scanpfad] c:\windows\system32\drivers\srv.sys c:\windows\system32\drivers\srv.sys - OK [Scanpfad] c:\windows\system32\drivers\swenum.sys c:\windows\system32\drivers\swenum.sys - OK [Scanpfad] c:\windows\system32\drivers\swmidi.sys c:\windows\system32\drivers\swmidi.sys - OK [Scanpfad] c:\windows\system32\drivers\syntp.sys c:\windows\system32\drivers\syntp.sys - OK [Scanpfad] c:\windows\system32\drivers\sysaudio.sys c:\windows\system32\drivers\sysaudio.sys - OK [Scanpfad] c:\windows\system32\drivers\tcpip.sys c:\windows\system32\drivers\tcpip.sys - OK [Scanpfad] c:\windows\system32\drivers\tdpipe.sys c:\windows\system32\drivers\tdpipe.sys - OK [Scanpfad] c:\windows\system32\drivers\tdtcp.sys c:\windows\system32\drivers\tdtcp.sys - OK [Scanpfad] c:\windows\system32\drivers\termdd.sys c:\windows\system32\drivers\termdd.sys - OK [Scanpfad] c:\windows\system32\drivers\update.sys c:\windows\system32\drivers\update.sys - OK [Scanpfad] c:\windows\system32\drivers\usbaudio.sys c:\windows\system32\drivers\usbaudio.sys - OK [Scanpfad] c:\windows\system32\drivers\usbccgp.sys c:\windows\system32\drivers\usbccgp.sys - OK [Scanpfad] c:\windows\system32\drivers\usbehci.sys c:\windows\system32\drivers\usbehci.sys - OK [Scanpfad] c:\windows\system32\drivers\usbhub.sys c:\windows\system32\drivers\usbhub.sys - OK [Scanpfad] c:\windows\system32\drivers\usbprint.sys c:\windows\system32\drivers\usbprint.sys - OK [Scanpfad] c:\windows\system32\drivers\usbstor.sys c:\windows\system32\drivers\usbstor.sys - OK [Scanpfad] c:\windows\system32\drivers\usbuhci.sys c:\windows\system32\drivers\usbuhci.sys - OK [Scanpfad] c:\windows\system32\drivers\vga.sys c:\windows\system32\drivers\vga.sys - OK [Scanpfad] c:\windows\system32\drivers\volsnap.sys c:\windows\system32\drivers\volsnap.sys - OK [Scanpfad] c:\windows\system32\drivers\w800bus.sys c:\windows\system32\drivers\w800bus.sys - OK [Scanpfad] c:\windows\system32\drivers\w800mdfl.sys c:\windows\system32\drivers\w800mdfl.sys - OK [Scanpfad] c:\windows\system32\drivers\w800mdm.sys c:\windows\system32\drivers\w800mdm.sys - OK [Scanpfad] c:\windows\system32\drivers\w800mgmt.sys c:\windows\system32\drivers\w800mgmt.sys - OK [Scanpfad] c:\windows\system32\drivers\w800obex.sys c:\windows\system32\drivers\w800obex.sys - OK [Scanpfad] c:\windows\system32\drivers\wanarp.sys c:\windows\system32\drivers\wanarp.sys - OK [Scanpfad] c:\windows\system32\drivers\wdmaud.sys c:\windows\system32\drivers\wdmaud.sys - OK [Scanpfad] c:\windows\system32\drivers\ws2ifsl.sys c:\windows\system32\drivers\ws2ifsl.sys - OK [Scanpfad] c:\windows\system32\drivers\wsimd.sys c:\windows\system32\drivers\wsimd.sys - OK [Scanpfad] c:\windows\system32\drivers\wudfpf.sys c:\windows\system32\drivers\wudfpf.sys - OK [Scanpfad] c:\windows\system32\drivers\wudfrd.sys c:\windows\system32\drivers\wudfrd.sys - OK [Scanpfad] c:\windows\system32\drprov.dll c:\windows\system32\drprov.dll - OK [Scanpfad] c:\windows\system32\dskquota.dll c:\windows\system32\dskquota.dll - OK [Scanpfad] c:\windows\system32\dskquoui.dll c:\windows\system32\dskquoui.dll - OK [Scanpfad] c:\windows\system32\dsquery.dll c:\windows\system32\dsquery.dll - OK [Scanpfad] c:\windows\system32\dssec.dll c:\windows\system32\dssec.dll - OK [Scanpfad] c:\windows\system32\dsuiext.dll c:\windows\system32\dsuiext.dll - OK [Scanpfad] c:\windows\system32\eappcfg.dll c:\windows\system32\eappcfg.dll - OK [Scanpfad] c:\windows\system32\eappprxy.dll c:\windows\system32\eappprxy.dll - OK [Scanpfad] c:\windows\system32\eapsvc.dll c:\windows\system32\eapsvc.dll - OK [Scanpfad] c:\windows\system32\ersvc.dll c:\windows\system32\ersvc.dll - OK [Scanpfad] c:\windows\system32\es.dll c:\windows\system32\es.dll - OK [Scanpfad] c:\windows\system32\esent.dll c:\windows\system32\esent.dll - OK [Scanpfad] c:\windows\system32\eventlog.dll c:\windows\system32\eventlog.dll - OK [Scanpfad] c:\windows\system32\extmgr.dll c:\windows\system32\extmgr.dll - OK [Scanpfad] c:\windows\system32\fdeploy.dll c:\windows\system32\fdeploy.dll - OK [Scanpfad] c:\windows\system32\firewall.cpl c:\windows\system32\firewall.cpl - OK [Scanpfad] c:\windows\system32\fontext.dll c:\windows\system32\fontext.dll - Archiv BINARYRES >c:\windows\system32\fontext.dll/data001 gepackt von MS COMPRESS >>c:\windows\system32\fontext.dll/data001 - OK >c:\windows\system32\fontext.dll/data002 gepackt von MS COMPRESS >>c:\windows\system32\fontext.dll/data002 - OK c:\windows\system32\fontext.dll - OK [Scanpfad] c:\windows\system32\gdi32.dll c:\windows\system32\gdi32.dll - OK [Scanpfad] c:\windows\system32\gptext.dll c:\windows\system32\gptext.dll - OK [Scanpfad] c:\windows\system32\hhctrl.ocx c:\windows\system32\hhctrl.ocx - OK [Scanpfad] c:\windows\system32\hidserv.dll c:\windows\system32\hidserv.dll - OK [Scanpfad] c:\windows\system32\hkcmd.exe c:\windows\system32\hkcmd.exe - OK [Scanpfad] c:\windows\system32\hnetcfg.dll c:\windows\system32\hnetcfg.dll - OK [Scanpfad] c:\windows\system32\hp1006lm.dll c:\windows\system32\hp1006lm.dll - OK [Scanpfad] c:\windows\system32\hppeil.sys c:\windows\system32\hppeil.sys - OK [Scanpfad] c:\windows\system32\hticons.dll c:\windows\system32\hticons.dll - OK [Scanpfad] c:\windows\system32\icmui.dll c:\windows\system32\icmui.dll - OK [Scanpfad] c:\windows\system32\ie4uinit.exe c:\windows\system32\ie4uinit.exe - OK [Scanpfad] c:\windows\system32\iedkcs32.dll c:\windows\system32\iedkcs32.dll - OK [Scanpfad] c:\windows\system32\ieframe.dll c:\windows\system32\ieframe.dll - OK [Scanpfad] c:\windows\system32\iertutil.dll c:\windows\system32\iertutil.dll - OK [Scanpfad] c:\windows\system32\ieudinit.exe c:\windows\system32\ieudinit.exe - OK [Scanpfad] c:\windows\system32\igfxdev.dll c:\windows\system32\igfxdev.dll - OK [Scanpfad] c:\windows\system32\igfxpers.exe c:\windows\system32\igfxpers.exe - OK [Scanpfad] c:\windows\system32\igfxtray.exe c:\windows\system32\igfxtray.exe - OK [Scanpfad] c:\windows\system32\imagehlp.dll c:\windows\system32\imagehlp.dll - OK [Scanpfad] c:\windows\system32\imapi.exe c:\windows\system32\imapi.exe - OK [Scanpfad] c:\windows\system32\imm32.dll c:\windows\system32\imm32.dll - OK [Scanpfad] c:\windows\system32\inetcomm.dll c:\windows\system32\inetcomm.dll - OK [Scanpfad] c:\windows\system32\iphlpapi.dll c:\windows\system32\iphlpapi.dll - OK [Scanpfad] c:\windows\system32\ipnathlp.dll c:\windows\system32\ipnathlp.dll - OK [Scanpfad] c:\windows\system32\itss.dll c:\windows\system32\itss.dll - OK [Scanpfad] c:\windows\system32\kerberos.dll c:\windows\system32\kerberos.dll - OK [Scanpfad] c:\windows\system32\kernel32.dll c:\windows\system32\kernel32.dll - OK [Scanpfad] c:\windows\system32\kmsvc.dll c:\windows\system32\kmsvc.dll - OK [Scanpfad] c:\windows\system32\legitcheckcontrol.dll c:\windows\system32\legitcheckcontrol.dll - OK [Scanpfad] c:\windows\system32\linkinfo.dll c:\windows\system32\linkinfo.dll - OK [Scanpfad] c:\windows\system32\lmhsvc.dll c:\windows\system32\lmhsvc.dll - OK [Scanpfad] c:\windows\system32\localspl.dll c:\windows\system32\localspl.dll - OK [Scanpfad] c:\windows\system32\locator.exe c:\windows\system32\locator.exe - OK [Scanpfad] c:\windows\system32\logon.scr c:\windows\system32\logon.scr - OK [Scanpfad] c:\windows\system32\logonui.exe c:\windows\system32\logonui.exe - OK [Scanpfad] c:\windows\system32\lsasrv.dll c:\windows\system32\lsasrv.dll - OK [Scanpfad] c:\windows\system32\lsass.exe c:\windows\system32\lsass.exe - OK [Scanpfad] c:\windows\system32\lsdelete.exe c:\windows\system32\lsdelete.exe - OK [Scanpfad] c:\windows\system32\lz32.dll c:\windows\system32\lz32.dll - OK [Scanpfad] c:\windows\system32\mlang.dll c:\windows\system32\mlang.dll - OK [Scanpfad] c:\windows\system32\mmcshext.dll c:\windows\system32\mmcshext.dll - OK [Scanpfad] c:\windows\system32\mmsys.cpl c:\windows\system32\mmsys.cpl - OK [Scanpfad] c:\windows\system32\mnmsrvc.exe c:\windows\system32\mnmsrvc.exe - OK [Scanpfad] c:\windows\system32\mpr.dll c:\windows\system32\mpr.dll - OK [Scanpfad] c:\windows\system32\mprdim.dll c:\windows\system32\mprdim.dll - OK [Scanpfad] c:\windows\system32\msacm32.dll c:\windows\system32\msacm32.dll - OK [Scanpfad] c:\windows\system32\msapsspc.dll c:\windows\system32\msapsspc.dll - OK [Scanpfad] c:\windows\system32\msasn1.dll c:\windows\system32\msasn1.dll - OK [Scanpfad] c:\windows\system32\mscoree.dll c:\windows\system32\mscoree.dll - OK [Scanpfad] c:\windows\system32\mscories.dll c:\windows\system32\mscories.dll - OK [Scanpfad] c:\windows\system32\msctf.dll c:\windows\system32\msctf.dll - OK [Scanpfad] c:\windows\system32\msctfime.ime c:\windows\system32\msctfime.ime - OK [Scanpfad] c:\windows\system32\msdtc.exe c:\windows\system32\msdtc.exe - OK [Scanpfad] c:\windows\system32\msgina.dll c:\windows\system32\msgina.dll - OK [Scanpfad] c:\windows\system32\msgsvc.dll c:\windows\system32\msgsvc.dll - OK [Scanpfad] c:\windows\system32\mshtml.dll c:\windows\system32\mshtml.dll - OK [Scanpfad] c:\windows\system32\msi.dll c:\windows\system32\msi.dll - OK [Scanpfad] c:\windows\system32\msieftp.dll c:\windows\system32\msieftp.dll - OK [Scanpfad] c:\windows\system32\msiexec.exe c:\windows\system32\msiexec.exe - OK [Scanpfad] c:\windows\system32\msimg32.dll c:\windows\system32\msimg32.dll - OK [Scanpfad] c:\windows\system32\msnsspc.dll c:\windows\system32\msnsspc.dll - OK [Scanpfad] c:\windows\system32\mspmsnsv.dll c:\windows\system32\mspmsnsv.dll - OK [Scanpfad] c:\windows\system32\msprivs.dll c:\windows\system32\msprivs.dll - OK [Scanpfad] c:\windows\system32\mstask.dll c:\windows\system32\mstask.dll - OK [Scanpfad] c:\windows\system32\msutb.dll c:\windows\system32\msutb.dll - OK [Scanpfad] c:\windows\system32\msv1_0.dll c:\windows\system32\msv1_0.dll - OK [Scanpfad] c:\windows\system32\msvcp60.dll c:\windows\system32\msvcp60.dll - OK [Scanpfad] c:\windows\system32\msvcrt.dll c:\windows\system32\msvcrt.dll - OK [Scanpfad] c:\windows\system32\msvidctl.dll c:\windows\system32\msvidctl.dll - OK [Scanpfad] c:\windows\system32\mswsock.dll c:\windows\system32\mswsock.dll - OK [Scanpfad] c:\windows\system32\mui\0007\hhctrlui.dll c:\windows\system32\mui\0007\hhctrlui.dll - OK [Scanpfad] c:\windows\system32\mydocs.dll c:\windows\system32\mydocs.dll - OK [Scanpfad] c:\windows\system32\ncobjapi.dll c:\windows\system32\ncobjapi.dll - OK [Scanpfad] c:\windows\system32\nddeapi.dll c:\windows\system32\nddeapi.dll - OK [Scanpfad] c:\windows\system32\netapi32.dll c:\windows\system32\netapi32.dll - OK [Scanpfad] c:\windows\system32\netdde.exe c:\windows\system32\netdde.exe - OK [Scanpfad] c:\windows\system32\netlogon.dll c:\windows\system32\netlogon.dll - OK [Scanpfad] c:\windows\system32\netman.dll c:\windows\system32\netman.dll - OK [Scanpfad] c:\windows\system32\netplwiz.dll c:\windows\system32\netplwiz.dll - OK [Scanpfad] c:\windows\system32\netrap.dll c:\windows\system32\netrap.dll - OK [Scanpfad] c:\windows\system32\netsetup.cpl c:\windows\system32\netsetup.cpl - OK [Scanpfad] c:\windows\system32\netshell.dll c:\windows\system32\netshell.dll - OK [Scanpfad] c:\windows\system32\netui0.dll c:\windows\system32\netui0.dll - OK [Scanpfad] c:\windows\system32\netui1.dll c:\windows\system32\netui1.dll - OK [Scanpfad] c:\windows\system32\normaliz.dll c:\windows\system32\normaliz.dll - OK [Scanpfad] c:\windows\system32\ntdll.dll c:\windows\system32\ntdll.dll - OK [Scanpfad] c:\windows\system32\ntdsapi.dll c:\windows\system32\ntdsapi.dll - OK [Scanpfad] c:\windows\system32\ntlanman.dll c:\windows\system32\ntlanman.dll - OK [Scanpfad] c:\windows\system32\ntlanui2.dll c:\windows\system32\ntlanui2.dll - OK [Scanpfad] c:\windows\system32\ntmarta.dll c:\windows\system32\ntmarta.dll gepackt von FLY-CODE >c:\windows\system32\ntmarta.dll - OK [Scanpfad] c:\windows\system32\ntmssvc.dll c:\windows\system32\ntmssvc.dll - OK [Scanpfad] c:\windows\system32\ntsd.exe c:\windows\system32\ntsd.exe - OK [Scanpfad] c:\windows\system32\ntshrui.dll c:\windows\system32\ntshrui.dll - OK [Scanpfad] c:\windows\system32\occache.dll c:\windows\system32\occache.dll - OK [Scanpfad] c:\windows\system32\odbc32.dll c:\windows\system32\odbc32.dll - OK [Scanpfad] c:\windows\system32\odbcint.dll c:\windows\system32\odbcint.dll - OK |
08.04.2009, 14:24 | #14 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Teil 3 Code:
ATTFilter [Scanpfad] c:\windows\system32\ole32.dll c:\windows\system32\ole32.dll - OK [Scanpfad] c:\windows\system32\oleaut32.dll c:\windows\system32\oleaut32.dll - OK [Scanpfad] c:\windows\system32\olecli32.dll c:\windows\system32\olecli32.dll - OK [Scanpfad] c:\windows\system32\olecnv32.dll c:\windows\system32\olecnv32.dll - OK [Scanpfad] c:\windows\system32\olesvr32.dll c:\windows\system32\olesvr32.dll - OK [Scanpfad] c:\windows\system32\olethk32.dll c:\windows\system32\olethk32.dll - OK [Scanpfad] c:\windows\system32\onex.dll c:\windows\system32\onex.dll - OK [Scanpfad] c:\windows\system32\photowiz.dll c:\windows\system32\photowiz.dll - OK [Scanpfad] c:\windows\system32\pjlmon.dll c:\windows\system32\pjlmon.dll - OK [Scanpfad] c:\windows\system32\plcndis5.sys c:\windows\system32\plcndis5.sys - OK [Scanpfad] c:\windows\system32\powrprof.dll c:\windows\system32\powrprof.dll - OK [Scanpfad] c:\windows\system32\printui.dll c:\windows\system32\printui.dll - OK [Scanpfad] c:\windows\system32\profmap.dll c:\windows\system32\profmap.dll - OK [Scanpfad] c:\windows\system32\psapi.dll c:\windows\system32\psapi.dll - OK [Scanpfad] c:\windows\system32\qagentrt.dll c:\windows\system32\qagentrt.dll - OK [Scanpfad] c:\windows\system32\qmgr.dll c:\windows\system32\qmgr.dll - OK [Scanpfad] c:\windows\system32\rasadhlp.dll c:\windows\system32\rasadhlp.dll - OK [Scanpfad] c:\windows\system32\rasauto.dll c:\windows\system32\rasauto.dll - OK [Scanpfad] c:\windows\system32\rasmans.dll c:\windows\system32\rasmans.dll - OK [Scanpfad] c:\windows\system32\regapi.dll c:\windows\system32\regapi.dll - OK [Scanpfad] c:\windows\system32\regsvc.dll c:\windows\system32\regsvc.dll - OK [Scanpfad] c:\windows\system32\regsvr32.exe c:\windows\system32\regsvr32.exe - OK [Scanpfad] c:\windows\system32\remotepg.dll c:\windows\system32\remotepg.dll - OK [Scanpfad] c:\windows\system32\riched20.dll c:\windows\system32\riched20.dll - OK [Scanpfad] c:\windows\system32\riched32.dll c:\windows\system32\riched32.dll - OK [Scanpfad] c:\windows\system32\rpcrt4.dll c:\windows\system32\rpcrt4.dll - OK [Scanpfad] c:\windows\system32\rpcss.dll c:\windows\system32\rpcss.dll - OK [Scanpfad] c:\windows\system32\rsaenh.dll c:\windows\system32\rsaenh.dll - OK [Scanpfad] c:\windows\system32\rshx32.dll c:\windows\system32\rshx32.dll - OK [Scanpfad] c:\windows\system32\rsvp.exe c:\windows\system32\rsvp.exe - OK [Scanpfad] c:\windows\system32\rsvpsp.dll c:\windows\system32\rsvpsp.dll - OK [Scanpfad] c:\windows\system32\rtutils.dll c:\windows\system32\rtutils.dll - OK [Scanpfad] c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe - OK [Scanpfad] c:\windows\system32\samlib.dll c:\windows\system32\samlib.dll - OK [Scanpfad] c:\windows\system32\samsrv.dll c:\windows\system32\samsrv.dll - OK [Scanpfad] c:\windows\system32\scardsvr.exe c:\windows\system32\scardsvr.exe - OK [Scanpfad] c:\windows\system32\scecli.dll c:\windows\system32\scecli.dll - OK [Scanpfad] c:\windows\system32\scesrv.dll c:\windows\system32\scesrv.dll - OK [Scanpfad] c:\windows\system32\schannel.dll c:\windows\system32\schannel.dll - OK [Scanpfad] c:\windows\system32\schedsvc.dll c:\windows\system32\schedsvc.dll - OK [Scanpfad] c:\windows\system32\sclgntfy.dll c:\windows\system32\sclgntfy.dll - OK [Scanpfad] c:\windows\system32\seclogon.dll c:\windows\system32\seclogon.dll - OK [Scanpfad] c:\windows\system32\secur32.dll c:\windows\system32\secur32.dll - OK [Scanpfad] c:\windows\system32\sendmail.dll c:\windows\system32\sendmail.dll - OK [Scanpfad] c:\windows\system32\sens.dll c:\windows\system32\sens.dll - OK [Scanpfad] c:\windows\system32\services.exe c:\windows\system32\services.exe - OK [Scanpfad] c:\windows\system32\sessmgr.exe c:\windows\system32\sessmgr.exe - OK [Scanpfad] c:\windows\system32\setupapi.dll c:\windows\system32\setupapi.dll - OK [Scanpfad] c:\windows\system32\sfc.dll c:\windows\system32\sfc.dll - OK [Scanpfad] c:\windows\system32\sfc_os.dll c:\windows\system32\sfc_os.dll - OK [Scanpfad] c:\windows\system32\shdocvw.dll c:\windows\system32\shdocvw.dll - OK [Scanpfad] c:\windows\system32\shell32.dll c:\windows\system32\shell32.dll - OK [Scanpfad] c:\windows\system32\shimeng.dll c:\windows\system32\shimeng.dll - OK [Scanpfad] c:\windows\system32\shimgvw.dll c:\windows\system32\shimgvw.dll - OK [Scanpfad] c:\windows\system32\shlwapi.dll c:\windows\system32\shlwapi.dll - OK [Scanpfad] c:\windows\system32\shmedia.dll c:\windows\system32\shmedia.dll - OK [Scanpfad] c:\windows\system32\shmgrate.exe c:\windows\system32\shmgrate.exe - OK [Scanpfad] c:\windows\system32\shscrap.dll c:\windows\system32\shscrap.dll - OK [Scanpfad] c:\windows\system32\shsvcs.dll c:\windows\system32\shsvcs.dll - OK [Scanpfad] c:\windows\system32\slayerxp.dll c:\windows\system32\slayerxp.dll - OK [Scanpfad] c:\windows\system32\smlogsvc.exe c:\windows\system32\smlogsvc.exe - OK [Scanpfad] c:\windows\system32\smss.exe c:\windows\system32\smss.exe - OK [Scanpfad] c:\windows\system32\spool\drivers\w32x86\3\hp1006sx.dll c:\windows\system32\spool\drivers\w32x86\3\hp1006sx.dll - OK [Scanpfad] c:\windows\system32\spoolsv.exe c:\windows\system32\spoolsv.exe - OK [Scanpfad] c:\windows\system32\srsvc.dll c:\windows\system32\srsvc.dll - OK [Scanpfad] c:\windows\system32\srvsvc.dll c:\windows\system32\srvsvc.dll - OK [Scanpfad] c:\windows\system32\ssdpsrv.dll c:\windows\system32\ssdpsrv.dll - OK [Scanpfad] c:\windows\system32\stobject.dll c:\windows\system32\stobject.dll - OK [Scanpfad] c:\windows\system32\svchost.exe c:\windows\system32\svchost.exe - OK [Scanpfad] c:\windows\system32\sxs.dll c:\windows\system32\sxs.dll - OK [Scanpfad] c:\windows\system32\syncui.dll c:\windows\system32\syncui.dll - OK [Scanpfad] c:\windows\system32\tapisrv.dll c:\windows\system32\tapisrv.dll - OK [Scanpfad] c:\windows\system32\tcpmon.dll c:\windows\system32\tcpmon.dll - OK [Scanpfad] c:\windows\system32\termsrv.dll c:\windows\system32\termsrv.dll - OK [Scanpfad] c:\windows\system32\themeui.dll c:\windows\system32\themeui.dll - OK [Scanpfad] c:\windows\system32\tlntsvr.exe c:\windows\system32\tlntsvr.exe - OK [Scanpfad] c:\windows\system32\tpsmain.exe c:\windows\system32\tpsmain.exe - OK [Scanpfad] c:\windows\system32\trkwks.dll c:\windows\system32\trkwks.dll - OK [Scanpfad] c:\windows\system32\twext.dll c:\windows\system32\twext.dll - OK [Scanpfad] c:\windows\system32\umpnpmgr.dll c:\windows\system32\umpnpmgr.dll - OK [Scanpfad] c:\windows\system32\upnphost.dll c:\windows\system32\upnphost.dll - OK [Scanpfad] c:\windows\system32\ups.exe c:\windows\system32\ups.exe - OK [Scanpfad] c:\windows\system32\url.dll c:\windows\system32\url.dll - OK [Scanpfad] c:\windows\system32\urlmon.dll c:\windows\system32\urlmon.dll - OK [Scanpfad] c:\windows\system32\usbmon.dll c:\windows\system32\usbmon.dll - OK [Scanpfad] c:\windows\system32\user32.dll c:\windows\system32\user32.dll - OK [Scanpfad] c:\windows\system32\userenv.dll c:\windows\system32\userenv.dll - OK [Scanpfad] c:\windows\system32\userinit.exe c:\windows\system32\userinit.exe - OK [Scanpfad] c:\windows\system32\uxtheme.dll c:\windows\system32\uxtheme.dll - OK [Scanpfad] c:\windows\system32\version.dll c:\windows\system32\version.dll - OK [Scanpfad] c:\windows\system32\vssapi.dll c:\windows\system32\vssapi.dll - OK [Scanpfad] c:\windows\system32\vssvc.exe c:\windows\system32\vssvc.exe - OK [Scanpfad] c:\windows\system32\w32time.dll c:\windows\system32\w32time.dll - OK [Scanpfad] c:\windows\system32\w3ssl.dll c:\windows\system32\w3ssl.dll - OK [Scanpfad] c:\windows\system32\wbem\esscli.dll c:\windows\system32\wbem\esscli.dll - OK [Scanpfad] c:\windows\system32\wbem\fastprox.dll c:\windows\system32\wbem\fastprox.dll - OK [Scanpfad] c:\windows\system32\wbem\repdrvfs.dll c:\windows\system32\wbem\repdrvfs.dll - OK [Scanpfad] c:\windows\system32\wbem\wbemcomn.dll c:\windows\system32\wbem\wbemcomn.dll - OK [Scanpfad] c:\windows\system32\wbem\wbemcore.dll c:\windows\system32\wbem\wbemcore.dll - OK [Scanpfad] c:\windows\system32\wbem\wbemess.dll c:\windows\system32\wbem\wbemess.dll - OK [Scanpfad] c:\windows\system32\wbem\winmgmt.exe c:\windows\system32\wbem\winmgmt.exe - OK [Scanpfad] c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\wbem\wmiapsrv.exe - OK [Scanpfad] c:\windows\system32\wbem\wmiprvsd.dll c:\windows\system32\wbem\wmiprvsd.dll - OK [Scanpfad] c:\windows\system32\wbem\wmisvc.dll c:\windows\system32\wbem\wmisvc.dll - OK [Scanpfad] c:\windows\system32\wbem\wmiutils.dll c:\windows\system32\wbem\wmiutils.dll - OK [Scanpfad] c:\windows\system32\wdigest.dll c:\windows\system32\wdigest.dll - OK [Scanpfad] c:\windows\system32\webcheck.dll c:\windows\system32\webcheck.dll - OK [Scanpfad] c:\windows\system32\webclnt.dll c:\windows\system32\webclnt.dll - OK [Scanpfad] c:\windows\system32\wiascr.dll c:\windows\system32\wiascr.dll - OK [Scanpfad] c:\windows\system32\wiaservc.dll c:\windows\system32\wiaservc.dll - OK [Scanpfad] c:\windows\system32\wiashext.dll c:\windows\system32\wiashext.dll - OK [Scanpfad] c:\windows\system32\wininet.dll c:\windows\system32\wininet.dll - OK [Scanpfad] c:\windows\system32\winlogon.exe c:\windows\system32\winlogon.exe - OK [Scanpfad] c:\windows\system32\winmm.dll c:\windows\system32\winmm.dll - OK [Scanpfad] c:\windows\system32\winrnr.dll c:\windows\system32\winrnr.dll - OK [Scanpfad] c:\windows\system32\winscard.dll c:\windows\system32\winscard.dll - OK [Scanpfad] c:\windows\system32\winspool.drv c:\windows\system32\winspool.drv - OK [Scanpfad] c:\windows\system32\winsrv.dll c:\windows\system32\winsrv.dll - OK [Scanpfad] c:\windows\system32\winsta.dll c:\windows\system32\winsta.dll gepackt von FLY-CODE >c:\windows\system32\winsta.dll - OK [Scanpfad] c:\windows\system32\wintrust.dll c:\windows\system32\wintrust.dll - OK [Scanpfad] c:\windows\system32\wkssvc.dll c:\windows\system32\wkssvc.dll - OK [Scanpfad] c:\windows\system32\wldap32.dll c:\windows\system32\wldap32.dll - OK [Scanpfad] c:\windows\system32\wlnotify.dll c:\windows\system32\wlnotify.dll - OK [Scanpfad] c:\windows\system32\wmpshell.dll c:\windows\system32\wmpshell.dll - OK [Scanpfad] c:\windows\system32\wpdshext.dll c:\windows\system32\wpdshext.dll - OK [Scanpfad] c:\windows\system32\wpdshserviceobj.dll c:\windows\system32\wpdshserviceobj.dll - OK [Scanpfad] c:\windows\system32\ws2_32.dll c:\windows\system32\ws2_32.dll - OK [Scanpfad] c:\windows\system32\ws2help.dll c:\windows\system32\ws2help.dll - OK [Scanpfad] c:\windows\system32\wscsvc.dll c:\windows\system32\wscsvc.dll - OK [Scanpfad] c:\windows\system32\wshext.dll c:\windows\system32\wshext.dll - OK [Scanpfad] c:\windows\system32\wshtcpip.dll c:\windows\system32\wshtcpip.dll - OK [Scanpfad] c:\windows\system32\wsock32.dll c:\windows\system32\wsock32.dll - OK [Scanpfad] c:\windows\system32\wtsapi32.dll c:\windows\system32\wtsapi32.dll - OK [Scanpfad] c:\windows\system32\wuaucpl.cpl c:\windows\system32\wuaucpl.cpl - OK [Scanpfad] c:\windows\system32\wuauserv.dll c:\windows\system32\wuauserv.dll - OK [Scanpfad] c:\windows\system32\wudfsvc.dll c:\windows\system32\wudfsvc.dll gepackt von PESTUB >c:\windows\system32\wudfsvc.dll - OK [Scanpfad] c:\windows\system32\wzcsvc.dll c:\windows\system32\wzcsvc.dll - OK [Scanpfad] c:\windows\system32\xmlprov.dll c:\windows\system32\xmlprov.dll - OK [Scanpfad] c:\windows\system32\xpsp2res.dll c:\windows\system32\xpsp2res.dll - OK [Scanpfad] c:\windows\system32\zipfldr.dll c:\windows\system32\zipfldr.dll - OK [Scanpfad] c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll - OK [Scanpfad] c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll - OK [Scanpfad] c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll - OK [Scanpfad] d:\tmp\hgu8ynfx.dll d:\tmp\hgu8ynfx.dll gepackt von ASPACK >d:\tmp\hgu8ynfx.dll - OK [Scanpfad] d:\tmp\rarsfx0\_start.exe d:\tmp\rarsfx0\_start.exe - OK [Scanpfad] d:\tmp\rarsfx0\setup.exe d:\tmp\rarsfx0\setup.exe - Archiv BINARYRES >d:\tmp\rarsfx0\setup.exe/data001 gepackt von ASPACK >>d:\tmp\rarsfx0\setup.exe/data001 - OK >d:\tmp\rarsfx0\setup.exe/data002 - OK >d:\tmp\rarsfx0\setup.exe/data003 - OK d:\tmp\rarsfx0\setup.exe - OK |
08.04.2009, 14:26 | #15 |
| Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 Teil 4 Code:
ATTFilter [Scanpfad] e:\dateien\_\download\launch.exe e:\dateien\_\download\launch.exe - Archiv ZIP >e:\dateien\_\download\launch.exe/be-cureit.dwl - OK >e:\dateien\_\download\launch.exe/bg-cureit.dwl - OK >e:\dateien\_\download\launch.exe/cn-cureit.dwl - OK >e:\dateien\_\download\launch.exe/cs-cureit.dwl - OK >e:\dateien\_\download\launch.exe/de-cureit.dwl - OK >e:\dateien\_\download\launch.exe/dwebio16.dll - OK >e:\dateien\_\download\launch.exe/dwebio32.dll gepackt von ASPACK >>e:\dateien\_\download\launch.exe/dwebio32.dll - OK >e:\dateien\_\download\launch.exe/el-cureit.dwl - OK >e:\dateien\_\download\launch.exe/en-drwebgui.chm - Archiv CHM >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#IDXHDR - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#ITBITS - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#IVB - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#STRINGS - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#SYSTEM - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#TOPICS - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#URLSTR - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#URLTBL - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#WINDOWS - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$FIftiMain - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$OBJINST - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/BTree - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/Data - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/Map - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/Property - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWKeywordLinks/Property - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/bull.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/butpause2.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/butstart1.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/butstop3.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/com_params.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/CSHelp.txt - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/default.css - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/en-drwebgui.hhc - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/en-drwebgui_popup_text.js - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/helpman_topicinit.js - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_aboutbox.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_curesettings.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_main.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_scan.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_scan_path.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_stat.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_actions.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_common.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_log.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_scan.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_types.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/intro.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/legal.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/open.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/ph_adv.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc01.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc02.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc03.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_action.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_action_adv.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_drweb_logo.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_general.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_inf.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_log.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_path_mask.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_scan.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_stat.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_types.png - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/scan_params.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/scan_settings.htm - OK >>e:\dateien\_\download\launch.exe/en-drwebgui.chm/scanning.htm - OK >e:\dateien\_\download\launch.exe/en-drwebgui.chm - OK >e:\dateien\_\download\launch.exe/eo-cureit.dwl - OK >e:\dateien\_\download\launch.exe/es-cureit.dwl - OK >e:\dateien\_\download\launch.exe/et-cureit.dwl - OK >e:\dateien\_\download\launch.exe/fr-cureit.dwl - OK >e:\dateien\_\download\launch.exe/hu-cureit.dwl - OK >e:\dateien\_\download\launch.exe/it-cureit.dwl - OK >e:\dateien\_\download\launch.exe/ja-cureit.dwl - OK >e:\dateien\_\download\launch.exe/ko-cureit.dwl - OK >e:\dateien\_\download\launch.exe/lt-cureit.dwl - OK >e:\dateien\_\download\launch.exe/lv-cureit.dwl - OK >e:\dateien\_\download\launch.exe/nl-cureit.dwl - OK >e:\dateien\_\download\launch.exe/no-cureit.dwl - OK >e:\dateien\_\download\launch.exe/pl-cureit.dwl - OK >e:\dateien\_\download\launch.exe/pt-cureit.dwl - OK >e:\dateien\_\download\launch.exe/ru-cureit.dwl - OK >e:\dateien\_\download\launch.exe/ru-drwebgui.chm - Archiv CHM >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#IDXHDR - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#ITBITS - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#IVB - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#STRINGS - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#SYSTEM - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#TOPICS - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#URLSTR - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#URLTBL - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#WINDOWS - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$FIftiMain - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$OBJINST - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/BTree - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/Data - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/Map - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/Property - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWKeywordLinks/Property - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/bull.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/butpause.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/butstart.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/butstop.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/com_params.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/CSHelp.txt - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/default.css - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/helpman_topicinit.js - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_aboutbox.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_curesettings.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_main.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_scan.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_scan_path.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_stat.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_actions.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_common.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_log.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_scan.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_types.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/intro.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/open.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/ph_adv.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/ru-drwebgui.hhc - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/ru-drwebgui_popup_text.js - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc01.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc02.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc03.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_action.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_action_adv.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_drweb_logo.zoom76.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_general.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_inf.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_log.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_path_mask.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_scan.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_stat.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_types.png - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/scan_params.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/scan_settings.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/scanning.htm - OK >>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/topic.htm - OK >e:\dateien\_\download\launch.exe/ru-drwebgui.chm - OK >e:\dateien\_\download\launch.exe/setup.dll - Archiv BINARYRES >>e:\dateien\_\download\launch.exe/setup.dll/data001 - OK >e:\dateien\_\download\launch.exe/setup.dll - OK >e:\dateien\_\download\launch.exe/setup.exe - Archiv BINARYRES >>e:\dateien\_\download\launch.exe/setup.exe/data001 gepackt von ASPACK >>>e:\dateien\_\download\launch.exe/setup.exe/data001 - OK >>e:\dateien\_\download\launch.exe/setup.exe/data002 - OK >>e:\dateien\_\download\launch.exe/setup.exe/data003 - OK |
Themen zu Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 |
.com, 0xc0000034, 1.exe, analysis, bluescree, controlset002, dns-server, encrypt, failed, file, infected, logfile, löschen, malwarebytes' anti-malware, neustart, norman, object, problem, programme, realtek, registrierungsschlüssel, registry, registry key, rootkit, rthdcpl.exe, scan, security, security suite, starten, system, system volume information, trick, trojaner, viren, windows, windows xp, windows-update, zwei trojaner |