Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.04.2009, 03:29   #1
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Ausrufezeichen

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Hallo liebe Forumsmitglieder!

Ich wende mich an Euch, weil mein Problem vertrackt zu sein scheint und ich etwas den Überblick verloren habe, was ich noch machen muss, um mein System wieder sauber hinzubekommen - und ob ich das überhaupt kann oder ob ihr mir ratet, das System platt zu machen.

Vielen Dank erst einmal, dass Ihr hier so tolle Hilfe leistet! Ich habe mich schon durch die Anleitungen und einige Threads (mein Problem ähnelt wohl dem Thread browser-spinnen-nach-2-trojaner) gelesen, um mein Problem zu lösen - allerdings: mit jedem gelöschten Trojaner kamen zwei neue.

Also, ich beginne erst einmal, das Problem zu beschreiben und berichte dann, welche Schritte ich alles schon unternommen habe (ich verwende Windows XP Professional Service Pack 3).

Begonnen hat es mit einer Datei, die ich ausgeführt habe, im Glauben, es wäre eine sichere Datei. Daraufhin meldete sich die Norman Security Suite, er habe zwei Trojaner entdeckt und in Quarantäne gesteckt. Dann begannen aber die eigentlichen Probleme. Sofort ging es mit Autorun.inf Meldungen los - dabei hatte ich eigentlich noch einige Tage vorher die Autorun-Funktion auf allen Laufwerken deaktiviert (und vorher noch das Windows-Update heruntergeladen, das die ordnungsgemäße Deaktivierung der Funktion gewährleisten soll).

Ich schreib mal auf, was die Norman Security Suite alles gefunden hat:

Code:
ATTFilter
Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***. Infected file E:\Recycled\NPROTECT\00001102.inf Quarantined file E:\Recycled\NPROTECT\00001102.inf Deleted file E:\Recycled\NPROTECT\00001102.inf Removed Trojan BAT/AutoRun.IWK. File deleted.

Virus W32/Malware [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * File length: 28160 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYST Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file E:\Recycled\NPROTECT\00001101.EXE Quarantined file E:\Recycled\NPROTECT\00001101.EXE Deleted file E:\Recycled\NPROTECT\00001101.EXE 

Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file F:\autorun.inf Quarantined file F:\autorun.inf Deleted file F:\autorun.inf Removed Trojan BAT/AutoRun.IWK. File deleted. 

Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\autorun.inf Quarantined file C:\autorun.inf Deleted file C:\autorun.inf Removed Trojan BAT/AutoRun.IWK. File deleted.

Trojan Malware.EKER Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\Recycled\NPROTECT\00087431.EXE Quarantined file C:\Recycled\NPROTECT\00087431.EXE Deleted file C:\Recycled\NPROTECT\00087431.EXE 

Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\Recycled\NPROTECT\00087498.inf Quarantined file C:\Recycled\NPROTECT\00087498.inf Deleted file C:\Recycled\NPROTECT\00087498.inf Removed Trojan BAT/AutoRun.IWK. File deleted.
         
So. Dann hab ich mir verschiedenen Programme heruntergeladen, die hier empfohlen wurden. Die Dateiendungen und die versteckten Dateien werden bei mir ohnehin angezeigt, das hab ich noch mal überprüft.

Also, Autoruneater geladen und gestartet, hat auch brav noch zwei gefunden.

Dann habe ich, weil ich das hier irgendwo gelesen hatte, mit Shift + Entf die Dateien in den recycled-Ordner auf den verschiedensten Platten bzw. Partitionen zu löschen, anfangs mit mäßigem Erfolg, weil immer Zugriffskonflikte gemeldet wurden. Schließlich ist es mir aber doch gelungen.

Dann habe ich über den Ausführen-Befehl msconfig gestartet und ipconfig /flushdns ausgeführt, um die DNS-Server wieder zu löschen. Ich weiss nicht mehr, ob die dabei gelöscht wurden, oder ob das vorher schon der Malwarebytes' Anti-Malware gemacht hatte, aber da waren auf jeden Fall welche eingestellt!

Sobald die Autorun.inf-Dateien eliminiert waren, meldeten sich im Systemtray rechts nacheinander drei Programme, die Autorun-Datei wäre defekt, ich solle irgendwas (CHDMX? Es war eine Buchstabenkombination, die ich mir nicht merken konnte, bei den ganzen 1000 Fehlermeldungen) ausführen. Zunächst billy.exe - offensichtlich Teil des Viruses. Dann später noch RTHDCPL.exe und dann ALCMTR.exe. Laut Filenet sind das Dateien, die vom Realtek Soundsystem verwendet werden, die aber auch von Viren befallen sein können, vor allem, wenn sie im System-Ordner oder im Windows-Ordner seien.

Daraufhin wollte ich schauen, wo die Dateien sich befinden - aber siehe da, der oder die Trojaner hatten meine Windows-Suche außer Funktion gesetzt, sofort gab's einen Bluescreen.

So, dann habe ich Malwarebytes' Anti-Malware starten wollen - ging aber nicht. Dann hab ich den Trick mit dem Umbenennen angewandt (von exe auf com), das klappte dann wunderbar. Hier die Logliste:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

05.04.2009 07:53:33
mbam-log-2009-04-05 (07-53-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 146564
Laufzeit: 13 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 20
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\autorun.inf (Worm.Agent.H) -> Delete on reboot.
C:\RECYCLER\S-8-0-42-100030408-100022070-100017761-1921.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
         
Dann Neustart und MAM nochmal gestartet:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

05.04.2009 08:30:56
mbam-log-2009-04-05 (08-30-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 146644
Laufzeit: 13 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
         
Das ganze dann x-mal, und jedesmal wurde der Gaopdxcounter von neuem gefunden.

Daraufhin habe ich Avenger gestartet. Siehe da, er hat einen Rootkit gefunden.

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath:  \systemroot\system32\drivers\gaopdxaeoitkmnkenfbgdndquaftsoqdxltjlk.sys 
Driver disabled successfully.

Rootkit scan completed.


Completed script processing.

*******************

Finished!  Terminate.
         
Allerdings macht mich stutzig, dass da nur "disabled" statt "deleted" stand. Ich hab vorher auf "automatically disable" bei den gefundenen rootkits geklickt, weil ich dachte, dass die ja sonst fröhlich weiterlaufen. Mhm, das hat mich allerdings verunsichert, wie ich den Rootkit denn sonst noch löschen kann.

Dann noch mal gestartet, und mit etwas Übung dann versucht, Treiber und Dateien zu löschen.

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\A0075392.sys" not found!
Deletion of driver "A0075392.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "gaopdxserv.sys" deleted successfully.

Error:  could not open file "C:\System Volume Information\_restore{49A5E9B2-2D9B-419B-B076-ECC3C59F7336}\RP222\A0075392.sys"
Deletion of file "C:\System Volume Information\_restore{49A5E9B2-2D9B-419B-B076-ECC3C59F7336}\RP222\A0075392.sys" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
Damit der Thread nicht noch länger wird, schicke ich es schon mal ab und mache gleich weiter mit meinem Bericht.

Alt 07.04.2009, 04:14   #2
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Fortsetzung: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ



So, nachdem ich mir nicht sicher war, ob der Avanger alles gefunden hat bzw. ob dadurch Folgeprobleme aufgetaucht sind, hab ich noch mal MBAM gestartet.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

05.04.2009 14:11:40
mbam-log-2009-04-05 (14-11-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 115941
Laufzeit: 20 minute(s), 21 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
E:\download\avenger.exe (Malware.Tool) -> Not selected for removal.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\download\avenger.exe (Malware.Tool) -> Not selected for removal.
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
         
(Bzw. war das vielleicht noch mal kurz vorher, weil ja der Gao.Dingens noch drin steht?)

Dann noch einmal:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

05.04.2009 15:56:11
mbam-log-2009-04-05 (15-56-11).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 113591
Laufzeit: 18 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Recycled\NPROTECT\00000150.exe (Adware.Cinmus) -> Quarantined and deleted successfully.
         
Dann wollte ich auch mal meinen HJT-Log posten, den ich währenddessen erstellt hatte:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:27:07, on 05.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Norman\Npm\Bin\Elogsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norman\Npm\Bin\Zanda.exe
C:\Programme\Norman\npm\bin\nvoy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\Programme\Speed Disk\nopdb.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Norman\Npm\bin\NVCSCHED.EXE
C:\Programme\Norman\Npm\bin\NJEEVES.EXE
C:\Programme\Norman\npc\bin\npcsvc32.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Atheros\ACU.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Norman\nse\bin\NSESVC.EXE
C:\Programme\Norman\npc\bin\nuaa.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Norman\Npm\Bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE
C:\Programme\Norman\Nvc\bin\nvcoas.exe
C:\Programme\Norman\Nvc\Bin\Nip.exe
C:\Programme\Norman\Nvc\Bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
E:\download\avenger.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\download\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TFncKy] C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
O4 - HKLM\..\Run: [NDSTray.exe] C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKLM\..\Run: [NPCTray] C:\Programme\Norman\npc\bin\npc_tray.exe /LOAD
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\programme\norman\npc\bin\nlf.dll
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\Bin\Elogsvc.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Parental Control (NPC) - Norman ASA - C:\Programme\Norman\npc\bin\npcsvc32.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\nse\bin\NSESVC.EXE
O23 - Service: Norman User Activity Agent (NUAA) - Norman ASA - C:\Programme\Norman\npc\bin\nuaa.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Programme\Norman\Npm\bin\NVCSCHED.EXE
O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Programme\Norman\npm\bin\nvoy.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 7201 bytes
         
Dann MBR.exe gestartet:

Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
__________________


Alt 07.04.2009, 04:15   #3
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Catch Me log:

Code:
ATTFilter
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\Recycled\NPROTECT
C:\Recycled\NPROTECT\NPROTECT.LOG 647168 bytes
C:\Recycled\NPROTECT\00000000.INI 16384 bytes
C:\Recycled\NPROTECT\00000002.INI 16384 bytes
C:\Recycled\NPROTECT\00000003.INI 16384 bytes
C:\Recycled\NPROTECT\00000004.INI 16384 bytes
C:\Recycled\NPROTECT\00000007.edb 1056768 bytes
C:\Recycled\NPROTECT\00000024.JOB 8192 bytes
C:\Recycled\NPROTECT\00000025.niu 8192 bytes
C:\Recycled\NPROTECT\00000026.edb 65536 bytes
C:\Recycled\NPROTECT\00000029 8192 bytes
C:\Recycled\NPROTECT\00000030 8192 bytes
C:\Recycled\NPROTECT\00000043 8192 bytes
C:\Recycled\NPROTECT\00000044 8192 bytes
C:\Recycled\NPROTECT\00000048.PF 24576 bytes
C:\Recycled\NPROTECT\00000049.INI 16384 bytes
C:\Recycled\NPROTECT\00000053.INI 16384 bytes
C:\Recycled\NPROTECT\00000054.INI 16384 bytes
C:\Recycled\NPROTECT\00000055.INI 16384 bytes
C:\Recycled\NPROTECT\00000062.edb 1056768 bytes
C:\Recycled\NPROTECT\00000069.JOB 8192 bytes
C:\Recycled\NPROTECT\00000076.edb 65536 bytes
C:\Recycled\NPROTECT\00000090.edb 65536 bytes
C:\Recycled\NPROTECT\00000095 8192 bytes
C:\Recycled\NPROTECT\00000096 8192 bytes
C:\Recycled\NPROTECT\00000103.niu 8192 bytes
C:\Recycled\NPROTECT\00000107.CAB 24576 bytes
C:\Recycled\NPROTECT\00000114.edb 65536 bytes
C:\Recycled\NPROTECT\00000117.ORI 32768 bytes
C:\Recycled\NPROTECT\00000118.TXT 8192 bytes
C:\Recycled\NPROTECT\00000121.sol 8192 bytes
C:\Recycled\NPROTECT\00000122.sol 8192 bytes
C:\Recycled\NPROTECT\00000123.sol 8192 bytes
C:\Recycled\NPROTECT\00000124.sol 8192 bytes
C:\Recycled\NPROTECT\00000125.sol 8192 bytes
C:\Recycled\NPROTECT\00000126.sol 8192 bytes
C:\Recycled\NPROTECT\00000127.sol 8192 bytes
C:\Recycled\NPROTECT\00000128.sol 8192 bytes
C:\Recycled\NPROTECT\00000129.sol 8192 bytes
C:\Recycled\NPROTECT\00000130.sol 8192 bytes
C:\Recycled\NPROTECT\00000131.sol 8192 bytes
C:\Recycled\NPROTECT\00000132.sol 8192 bytes
C:\Recycled\NPROTECT\00000133.sol 8192 bytes
C:\Recycled\NPROTECT\00000134.sol 8192 bytes
C:\Recycled\NPROTECT\00000135.sol 8192 bytes
C:\Recycled\NPROTECT\00000136.sol 8192 bytes
C:\Recycled\NPROTECT\00000137.sol 8192 bytes
C:\Recycled\NPROTECT\00000138.sol 8192 bytes
C:\Recycled\NPROTECT\00000139.sol 8192 bytes
C:\Recycled\NPROTECT\00000140.sol 8192 bytes
C:\Recycled\NPROTECT\00000141.sol 8192 bytes
C:\Recycled\NPROTECT\00000142.sol 8192 bytes
C:\Recycled\NPROTECT\00000143.sol 8192 bytes
C:\Recycled\NPROTECT\00000144.SOL 8192 bytes
C:\Recycled\NPROTECT\00000146.bat 8192 bytes
C:\Recycled\NPROTECT\00000148.txt 8192 bytes
C:\Recycled\NPROTECT\00000149.exe 139264 bytes
C:\Recycled\NPROTECT\00000212 8192 bytes
C:\Recycled\NPROTECT\00000151.bat 8192 bytes
C:\Recycled\NPROTECT\00000153.INI 16384 bytes
C:\Recycled\NPROTECT\00000156.INI 16384 bytes
C:\Recycled\NPROTECT\00000157.INI 16384 bytes
C:\Recycled\NPROTECT\00000158.INI 16384 bytes
C:\Recycled\NPROTECT\00000183.PF 172032 bytes
C:\Recycled\NPROTECT\00000184.PF 8192 bytes
C:\Recycled\NPROTECT\00000191.PF 40960 bytes
C:\Recycled\NPROTECT\00000203.JOB 8192 bytes
C:\Recycled\NPROTECT\00000204.edb 1056768 bytes
C:\Recycled\NPROTECT\00000205.edb 65536 bytes
C:\Recycled\NPROTECT\00000206 8192 bytes
C:\Recycled\NPROTECT\00000207 8192 bytes
C:\Recycled\NPROTECT\00000277 40960 bytes
C:\Recycled\NPROTECT\00000214.txt 8192 bytes
C:\Recycled\NPROTECT\00000215.zip 8192 bytes
C:\Recycled\NPROTECT\00000216 8192 bytes
C:\Recycled\NPROTECT\00000218.INI 16384 bytes
C:\Recycled\NPROTECT\00000220.INI 16384 bytes
C:\Recycled\NPROTECT\00000221.INI 16384 bytes
C:\Recycled\NPROTECT\00000222.INI 16384 bytes
C:\Recycled\NPROTECT\00000225.edb 1056768 bytes
C:\Recycled\NPROTECT\00000246.JOB 8192 bytes
C:\Recycled\NPROTECT\00000250.rbs 16384 bytes
C:\Recycled\NPROTECT\00000251.ipi 8192 bytes
C:\Recycled\NPROTECT\00000252.msi 6184960 bytes
C:\Recycled\NPROTECT\00000261.edb 65536 bytes
C:\Recycled\NPROTECT\00000263.PF 65536 bytes
C:\Recycled\NPROTECT\00000265.THE 8192 bytes
C:\Recycled\NPROTECT\00000268 8192 bytes
C:\Recycled\NPROTECT\00000269 8192 bytes
C:\Recycled\NPROTECT\00000278 8192 bytes
C:\Recycled\NPROTECT\00000279 8192 bytes
C:\Recycled\NPROTECT\00000280 8192 bytes
C:\Recycled\NPROTECT\00000281 8192 bytes
C:\Recycled\NPROTECT\00000282 8192 bytes
C:\Recycled\NPROTECT\00000283.db 8192 bytes
C:\Recycled\NPROTECT\00000284.SYS 40960 bytes
C:\Recycled\NPROTECT\00000288.ndf 65536 bytes
C:\Recycled\NPROTECT\00000289.ndf 65536 bytes
C:\Recycled\NPROTECT\00000290.db 8192 bytes
C:\Recycled\NPROTECT\00000291 8192 bytes
C:\Recycled\NPROTECT\00000292 8192 bytes
C:\Recycled\NPROTECT\00000293 8192 bytes
C:\Recycled\NPROTECT\00000294 8192 bytes
C:\Recycled\NPROTECT\00000295 8192 bytes
C:\Recycled\NPROTECT\00000296 40960 bytes
C:\Recycled\NPROTECT\00000298.SBU 40960 bytes
C:\Recycled\NPROTECT\00000299.db 8192 bytes
C:\Recycled\NPROTECT\00000300.DSC 8192 bytes
C:\Recycled\NPROTECT\00000301.db 8192 bytes
C:\Recycled\NPROTECT\00000302.SBU 8192 bytes
C:\Recycled\NPROTECT\00000308.ini 8192 bytes
C:\Recycled\NPROTECT\00000309.ini 8192 bytes
C:\Recycled\NPROTECT\00000310.SOL 8192 bytes
C:\Recycled\NPROTECT\00000311.SOL 8192 bytes
C:\Recycled\NPROTECT\00000312.sol 8192 bytes
C:\Recycled\NPROTECT\00000313.sol 8192 bytes
C:\Recycled\NPROTECT\00000314.sol 8192 bytes
C:\Recycled\NPROTECT\00000318.log 8192 bytes
C:\Recycled\NPROTECT\00000322.log 8192 bytes
C:\Recycled\NPROTECT\00000326.LOG 8192 bytes
C:\Recycled\NPROTECT\00000330.log 8192 bytes
C:\Recycled\NPROTECT\00000331 8192 bytes
C:\Recycled\NPROTECT\00000333.GID 114688 bytes
C:\Recycled\NPROTECT\00000334.GID 147456 bytes
C:\Recycled\NPROTECT\00000335.~TH 8192 bytes
C:\Recycled\NPROTECT\00000336.~AN 8192 bytes
C:\Recycled\NPROTECT\00000337.WAB 180224 bytes
C:\Recycled\NPROTECT\00000338.GID 16384 bytes
C:\Recycled\NPROTECT\00000339.GID 16384 bytes
C:\Recycled\NPROTECT\00000340.GID 16384 bytes
C:\Recycled\NPROTECT\00000341.GID 16384 bytes
C:\Recycled\NPROTECT\00000342.PRV 8192 bytes
C:\Recycled\NPROTECT\00000343.SYD 811008 bytes
C:\Recycled\NPROTECT\00000344.SYD 1933312 bytes
C:\Recycled\NPROTECT\00000345.DB 8192 bytes
C:\Recycled\NPROTECT\00000346.DB 24576 bytes
C:\Recycled\NPROTECT\00000347.DB 8192 bytes
C:\Recycled\NPROTECT\00000348.DB 8192 bytes
C:\Recycled\NPROTECT\00000349.DB 8192 bytes
C:\Recycled\NPROTECT\00000350.DB 8192 bytes
C:\Recycled\NPROTECT\00000351.DB 8192 bytes
C:\Recycled\NPROTECT\00000352.DB 8192 bytes
C:\Recycled\NPROTECT\00000353.DB 8192 bytes
C:\Recycled\NPROTECT\00000354.DB 8192 bytes
C:\Recycled\NPROTECT\00000355.DB 8192 bytes
C:\Recycled\NPROTECT\00000356.DB 8192 bytes
C:\Recycled\NPROTECT\00000357.DB 8192 bytes
C:\Recycled\NPROTECT\00000358.DB 8192 bytes
C:\Recycled\NPROTECT\00000359.DB 8192 bytes
C:\Recycled\NPROTECT\00000360.DB 8192 bytes
C:\Recycled\NPROTECT\00000361.DB 16384 bytes
C:\Recycled\NPROTECT\00000362.DB 8192 bytes
C:\Recycled\NPROTECT\00000363.DB 8192 bytes
C:\Recycled\NPROTECT\00000364.DB 8192 bytes
C:\Recycled\NPROTECT\00000365.DB 8192 bytes
C:\Recycled\NPROTECT\00000366.DB 8192 bytes
C:\Recycled\NPROTECT\00000367.DB 16384 bytes
C:\Recycled\NPROTECT\00000368.DB 8192 bytes
C:\Recycled\NPROTECT\00000369.DB 8192 bytes
C:\Recycled\NPROTECT\00000370.DB 8192 bytes
C:\Recycled\NPROTECT\00000371.DB 8192 bytes
C:\Recycled\NPROTECT\00000372.DB 8192 bytes
C:\Recycled\NPROTECT\00000373.DB 8192 bytes
C:\Recycled\NPROTECT\00000374.DB 8192 bytes
C:\Recycled\NPROTECT\00000375.DB 155648 bytes
C:\Recycled\NPROTECT\00000376.DB 24576 bytes
C:\Recycled\NPROTECT\00000377.DB 32768 bytes
C:\Recycled\NPROTECT\00000378.DB 8192 bytes
C:\Recycled\NPROTECT\00000379.DB 8192 bytes
C:\Recycled\NPROTECT\00000380.DB 376832 bytes
C:\Recycled\NPROTECT\00000381.DB 32768 bytes
C:\Recycled\NPROTECT\00000382.DB 139264 bytes
C:\Recycled\NPROTECT\00000383.DB 57344 bytes
C:\Recycled\NPROTECT\00000384.DB 32768 bytes
C:\Recycled\NPROTECT\00000385.DB 106496 bytes
C:\Recycled\NPROTECT\00000386.DB 16384 bytes
C:\Recycled\NPROTECT\00000387.DB 40960 bytes
C:\Recycled\NPROTECT\00000388.DB 16384 bytes
C:\Recycled\NPROTECT\00000389.DB 40960 bytes
C:\Recycled\NPROTECT\00000390.DB 8192 bytes
C:\Recycled\NPROTECT\00000391.DB 24576 bytes
C:\Recycled\NPROTECT\00000392.DB 16384 bytes
C:\Recycled\NPROTECT\00000393.DB 8192 bytes
C:\Recycled\NPROTECT\00000394.DB 24576 bytes
C:\Recycled\NPROTECT\00000395.DB 57344 bytes
C:\Recycled\NPROTECT\00000396.DB 98304 bytes
C:\Recycled\NPROTECT\00000397.DB 278528 bytes
C:\Recycled\NPROTECT\00000398.DB 16384 bytes
C:\Recycled\NPROTECT\00000399.DB 114688 bytes
C:\Recycled\NPROTECT\00000400.DB 65536 bytes
C:\Recycled\NPROTECT\00000401.DB 548864 bytes
C:\Recycled\NPROTECT\00000402.DB 65536 bytes
C:\Recycled\NPROTECT\00000403.DB 49152 bytes
C:\Recycled\NPROTECT\00000404.DB 57344 bytes
C:\Recycled\NPROTECT\00000405.DB 49152 bytes
C:\Recycled\NPROTECT\00000406.DB 8192 bytes
C:\Recycled\NPROTECT\00000407.DB 122880 bytes
C:\Recycled\NPROTECT\00000408.DB 8192 bytes
C:\Recycled\NPROTECT\00000409.DB 16384 bytes
C:\Recycled\NPROTECT\00000410.DB 8192 bytes
C:\Recycled\NPROTECT\00000411.DB 16384 bytes
C:\Recycled\NPROTECT\00000412.DB 8192 bytes
C:\Recycled\NPROTECT\00000413.DB 106496 bytes
C:\Recycled\NPROTECT\00000414.DB 16384 bytes
C:\Recycled\NPROTECT\00000415.DB 16384 bytes
C:\Recycled\NPROTECT\00000416.DB 65536 bytes
C:\Recycled\NPROTECT\00000417.DB 65536 bytes
C:\Recycled\NPROTECT\00000418.DB 65536 bytes
C:\Recycled\NPROTECT\00000419.DB 65536 bytes
C:\Recycled\NPROTECT\00000420.DB 65536 bytes
C:\Recycled\NPROTECT\00000421.DB 65536 bytes
C:\Recycled\NPROTECT\00000422.DB 65536 bytes
C:\Recycled\NPROTECT\00000423.DB 65536 bytes
C:\Recycled\NPROTECT\00000424.DB 65536 bytes
C:\Recycled\NPROTECT\00000425.DB 65536 bytes
C:\Recycled\NPROTECT\00000426.DB 65536 bytes
C:\Recycled\NPROTECT\00000427.DB 65536 bytes
C:\Recycled\NPROTECT\00000428.DB 65536 bytes
C:\Recycled\NPROTECT\00000429.DB 65536 bytes
C:\Recycled\NPROTECT\00000430.DB 65536 bytes
C:\Recycled\NPROTECT\00000431.DB 32768 bytes
C:\Recycled\NPROTECT\00000432.DB 32768 bytes
C:\Recycled\NPROTECT\00000433.DB 32768 bytes
C:\Recycled\NPROTECT\00000434.DB 40960 bytes
C:\Recycled\NPROTECT\00000435.DB 24576 bytes
C:\Recycled\NPROTECT\00000436.DB 24576 bytes
C:\Recycled\NPROTECT\00000437.DB 16384 bytes
C:\Recycled\NPROTECT\00000438.DB 32768 bytes
C:\Recycled\NPROTECT\00000439.DB 32768 bytes
C:\Recycled\NPROTECT\00000440.DB 16384 bytes
C:\Recycled\NPROTECT\00000441.DB 24576 bytes
C:\Recycled\NPROTECT\00000442.DB 32768 bytes
C:\Recycled\NPROTECT\00000443.DB 24576 bytes
C:\Recycled\NPROTECT\00000444.DB 40960 bytes
C:\Recycled\NPROTECT\00000445.chk 8192 bytes
C:\Recycled\NPROTECT\00000446.chk 8192 bytes
C:\Recycled\NPROTECT\00000447.chk 8192 bytes
C:\Recycled\NPROTECT\00000448.chk 8192 bytes
C:\Recycled\NPROTECT\00000449.chk 8192 bytes
C:\Recycled\NPROTECT\00000450.dmp 8192 bytes
C:\Recycled\NPROTECT\00000451.dmp 8192 bytes
C:\Recycled\NPROTECT\00000452.chk 8192 bytes
C:\Recycled\NPROTECT\00000453.chk 8192 bytes
C:\Recycled\NPROTECT\00000454.WBK 32768 bytes
C:\Recycled\NPROTECT\00000455.STA 8192 bytes
C:\Recycled\NPROTECT\00000456.STA 8192 bytes
C:\Recycled\NPROTECT\00000457.PSM 8192 bytes
C:\Recycled\NPROTECT\00000458.exe 770048 bytes
C:\Recycled\NPROTECT\00000459.dll 32768 bytes
C:\Recycled\NPROTECT\00000460.dll 393216 bytes
C:\Recycled\NPROTECT\00000461.dll 32768 bytes
C:\Recycled\NPROTECT\00000462.INF 32768 bytes
C:\Recycled\NPROTECT\00000463.INF 32768 bytes
C:\Recycled\NPROTECT\00000464.INF 24576 bytes
C:\Recycled\NPROTECT\00000465.INF 24576 bytes
C:\Recycled\NPROTECT\00000466.inf 8192 bytes
C:\Recycled\NPROTECT\00000467.inf 8192 bytes
C:\Recycled\NPROTECT\00000468.url 8192 bytes
C:\Recycled\NPROTECT\00000469.cat 16384 bytes
C:\Recycled\NPROTECT\00000470.cat 16384 bytes
C:\Recycled\NPROTECT\00000471.txt 8192 bytes
C:\Recycled\NPROTECT\00000472.ver 8192 bytes
C:\Recycled\NPROTECT\00000473.exe 237568 bytes
C:\Recycled\NPROTECT\00000474.dll 24576 bytes
C:\Recycled\NPROTECT\00000475.STA 8192 bytes
C:\Recycled\NPROTECT\00000476.rq0 8192 bytes
C:\Recycled\NPROTECT\00000477.sys 1851392 bytes
C:\Recycled\NPROTECT\00000478.sys 1851392 bytes
C:\Recycled\NPROTECT\00000479.STA 8192 bytes
C:\Recycled\NPROTECT\00000480.STA 8192 bytes
C:\Recycled\NPROTECT\00000481.PSM 8192 bytes
C:\Recycled\NPROTECT\00000482.INF 32768 bytes
C:\Recycled\NPROTECT\00000483.INF 32768 bytes
C:\Recycled\NPROTECT\00000484.INF 24576 bytes
C:\Recycled\NPROTECT\00000485.INF 24576 bytes
C:\Recycled\NPROTECT\00000486.inf 8192 bytes
C:\Recycled\NPROTECT\00000487.exe 770048 bytes
C:\Recycled\NPROTECT\00000488.inf 8192 bytes
C:\Recycled\NPROTECT\00000489.url 8192 bytes
C:\Recycled\NPROTECT\00000490.dll 393216 bytes
C:\Recycled\NPROTECT\00000491.dll 32768 bytes
C:\Recycled\NPROTECT\00000492.cat 16384 bytes
C:\Recycled\NPROTECT\00000493.txt 8192 bytes
C:\Recycled\NPROTECT\00000494.ver 8192 bytes
C:\Recycled\NPROTECT\00000495.exe 237568 bytes
C:\Recycled\NPROTECT\00000496.dll 24576 bytes
C:\Recycled\NPROTECT\00000497.STA 8192 bytes
C:\Recycled\NPROTECT\00000498.rq0 8192 bytes
C:\Recycled\NPROTECT\00000499.dll 147456 bytes
C:\Recycled\NPROTECT\00000500.dll 147456 bytes
C:\Recycled\NPROTECT\00000501.STA 8192 bytes
C:\Recycled\NPROTECT\00000502.STA 8192 bytes
C:\Recycled\NPROTECT\00000503.PSM 8192 bytes
C:\Recycled\NPROTECT\00000504.exe 770048 bytes
C:\Recycled\NPROTECT\00000505.INF 32768 bytes
C:\Recycled\NPROTECT\00000506.INF 32768 bytes
C:\Recycled\NPROTECT\00000507.INF 32768 bytes
C:\Recycled\NPROTECT\00000508.INF 32768 bytes
C:\Recycled\NPROTECT\00000509.inf 8192 bytes
C:\Recycled\NPROTECT\00000510.inf 8192 bytes
C:\Recycled\NPROTECT\00000511.url 8192 bytes
C:\Recycled\NPROTECT\00000512.dll 393216 bytes
C:\Recycled\NPROTECT\00000513.dll 32768 bytes
C:\Recycled\NPROTECT\00000514.cat 16384 bytes
C:\Recycled\NPROTECT\00000515.txt 8192 bytes
C:\Recycled\NPROTECT\00000516.ver 8192 bytes
C:\Recycled\NPROTECT\00000517.exe 237568 bytes
C:\Recycled\NPROTECT\00000518.dll 24576 bytes
C:\Recycled\NPROTECT\00000519.STA 8192 bytes
C:\Recycled\NPROTECT\00000520.rq0 8192 bytes
C:\Recycled\NPROTECT\00000521.dll 8503296 bytes
C:\Recycled\NPROTECT\00000522.dll 8503296 bytes
C:\Recycled\NPROTECT\00000528.INI 16384 bytes
C:\Recycled\NPROTECT\00000530.INI 16384 bytes
C:\Recycled\NPROTECT\00000532.INI 16384 bytes
C:\Recycled\NPROTECT\00000533.INI 16384 bytes
C:\Recycled\NPROTECT\00000534.THE 8192 bytes
C:\Recycled\NPROTECT\00000548.JOB 8192 bytes
C:\Recycled\NPROTECT\00000549.PF 450560 bytes
C:\Recycled\NPROTECT\00000551.THE 8192 bytes
C:\Recycled\NPROTECT\00000552.dat 16384 bytes
C:\Recycled\NPROTECT\00000553.BMP 1998848 bytes
C:\Recycled\NPROTECT\00000555.niu 8192 bytes
C:\Recycled\NPROTECT\00000556.edb 65536 bytes
C:\Recycled\NPROTECT\00000558 8192 bytes
C:\Recycled\NPROTECT\00000559 8192 bytes
C:\Recycled\NPROTECT\00000563.INI 16384 bytes
C:\Recycled\NPROTECT\00000565.INI 16384 bytes
C:\Recycled\NPROTECT\00000567.INI 16384 bytes
C:\Recycled\NPROTECT\00000568.INI 16384 bytes
C:\Recycled\NPROTECT\00000585.JOB 8192 bytes
C:\Recycled\NPROTECT\00000586.edb 65536 bytes
C:\Recycled\NPROTECT\00000587.niu 8192 bytes
C:\Recycled\NPROTECT\00000589.INI 16384 bytes
C:\Recycled\NPROTECT\00000591.INI 16384 bytes
C:\Recycled\NPROTECT\00000593.INI 16384 bytes
C:\Recycled\NPROTECT\00000594.INI 16384 bytes
C:\Recycled\NPROTECT\00000611.JOB 8192 bytes
C:\Recycled\NPROTECT\00000612.383 8192 bytes
C:\Recycled\NPROTECT\00000613.400 24576 bytes
C:\Recycled\NPROTECT\00000614.400 8192 bytes
C:\Recycled\NPROTECT\00000615.487 8192 bytes
C:\Recycled\NPROTECT\00000616.487 8192 bytes
C:\Recycled\NPROTECT\00000617.141 8192 bytes
C:\Recycled\NPROTECT\00000618.141 8192 bytes
C:\Recycled\NPROTECT\00000619.161 8192 bytes
C:\Recycled\NPROTECT\00000620.161 8192 bytes
C:\Recycled\NPROTECT\00000621.964 8192 bytes
C:\Recycled\NPROTECT\00000622.964 8192 bytes
C:\Recycled\NPROTECT\00000623.218 8192 bytes
C:\Recycled\NPROTECT\00000624.218 8192 bytes
C:\Recycled\NPROTECT\00000625.734 8192 bytes
C:\Recycled\NPROTECT\00000626.734 8192 bytes
C:\Recycled\NPROTECT\00000627.801 24576 bytes
C:\Recycled\NPROTECT\00000628.801 8192 bytes
C:\Recycled\NPROTECT\00000629.edb 65536 bytes
C:\Recycled\NPROTECT\00000630.ini 8192 bytes
C:\Recycled\NPROTECT\00000631.ini 8192 bytes
C:\Recycled\NPROTECT\00000632.txt 8192 bytes
C:\Recycled\NPROTECT\00000633.DAT 8192 bytes
C:\Recycled\NPROTECT\00000637.log 8192 bytes
C:\Recycled\NPROTECT\00000641.log 8192 bytes
C:\Recycled\NPROTECT\00000645.LOG 8192 bytes
C:\Recycled\NPROTECT\00000649.log 8192 bytes
C:\Recycled\NPROTECT\00000653.INI 16384 bytes
C:\Recycled\NPROTECT\00000655.INI 16384 bytes
C:\Recycled\NPROTECT\00000657.INI 16384 bytes
C:\Recycled\NPROTECT\00000658.INI 16384 bytes
C:\Recycled\NPROTECT\00000676.JOB 8192 bytes
C:\Recycled\NPROTECT\00000677.niu 8192 bytes
C:\Recycled\NPROTECT\00000679.edb 65536 bytes
C:\Recycled\NPROTECT\00000681.ini 8192 bytes
C:\Recycled\NPROTECT\00000682.ini 8192 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 373
         
Blacklight Log:

Code:
ATTFilter
04/06/09 22:07:00 [Info]: BlackLight Engine 2.2.1092 initialized
04/06/09 22:07:00 [Info]: OS: 5.1 build 2600 (Service Pack 3)
04/06/09 22:07:00 [Note]: 7019 4
04/06/09 22:07:00 [Note]: 7005 0
04/06/09 22:07:10 [Note]: 7006 0
04/06/09 22:07:10 [Note]: 7011 724
04/06/09 22:07:10 [Note]: 7035 0
04/06/09 22:07:10 [Note]: 7026 0
04/06/09 22:07:10 [Note]: 7026 0
04/06/09 22:07:16 [Note]: FSRAW library version 1.7.1024
04/06/09 22:07:59 [Note]: 7007 0
         
SuperAntiSpyware-Log 1:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/05/2009 at 04:54 PM

Application Version : 4.26.1000

Core Rules Database Version : 3829
Trace Rules Database Version: 1785

Scan type       : Complete Scan
Total Scan Time : 00:47:35

Memory items scanned      : 477
Memory threats detected   : 0
Registry items scanned    : 4830
Registry threats detected : 2
File items scanned        : 72362
File threats detected     : 6

Rootkit.Agent/Gen-GAOPDX
	HKLM\System\ControlSet001\Services\gaopdxserv.sys
	C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXAEOITKMNKENFBGDNDQUAFTSOQDXLTJLK.SYS
	HKLM\System\ControlSet001\Enum\Root\LEGACY_gaopdxserv.sys

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ads.sun[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@revsci[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt
         
SuperAntiSpyware-Log 2 (versehentlich nur schneller Scan, fällt mir jetzt auf), im abgesichertem Modus:

Code:
ATTFilter
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 04/05/2009 bei 07:08 PM

Version der Applikation : 4.26.1000

Version der Kern-Datenbank : 3829
Version der Spur-Datenbank : 1785

Scan Art       : Schneller Scann
Totale Scann-Zeit : 01:32:33

Gescannte Speicherelemente  : 219
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 464
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 42506
Erfasste Datei-Elemente   : 0
         
SuperAntiSpyware-Log 3:

Code:
ATTFilter
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 04/06/2009 bei 10:56 PM

Version der Applikation : 4.26.1000

Version der Kern-Datenbank : 3829
Version der Spur-Datenbank : 1785

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:48:03

Gescannte Speicherelemente  : 485
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4828
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 71962
Erfasste Datei-Elemente   : 0
         
Mit dem SUPERAntiSpyware hab ich auf sicherheitshalber den repair broken safe boot key ausgeführt.
__________________

Alt 07.04.2009, 04:23   #4
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



So, dann hab ich noch GMER durchlaufen lassen:

Code:
ATTFilter
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-07 04:51:07
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xA96F5DF0]

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Norman\Nvc\Bin\cclaw.exe[1544] kernel32.dll!FreeLibrary + 15                                  7C80AC83 4 Bytes  CALL 7170003D 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] kernel32.dll!LoadLibraryExW                           7C801AF5 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] kernel32.dll!FreeLibrary + 15                         7C80AC83 4 Bytes  CALL 7170003D 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!htons                                      71A12E53 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAGetLastError + 2                        71A13CD0 4 Bytes  [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!closesocket                                71A13E2B 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!connect                                    71A14A07 6 Bytes  JMP 5F130F5A 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAEventSelect                             71A164D9 6 Bytes  JMP 5F1F0F5A 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAAsyncSelect                             71A20991 6 Bytes  JMP 5F1C0F5A 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAConnect                                 71A20C81 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!WSAAccept                                  71A20DC1 6 Bytes  JMP 5F160F5A 
.text           C:\Programme\Mobile Connect\Mobile Connect.exe[1616] WS2_32.dll!accept                                     71A21040 6 Bytes  JMP 5F100F5A 
.text           C:\Programme\Toshiba\Toshiba Applet\thotkey.exe[2256] kernel32.dll!LoadLibraryExW                          7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Norman\nse\bin\NSESVC.EXE[2264] kernel32.dll!FreeLibrary + 15                                 7C80AC83 4 Bytes  CALL 7170003D 
.text           C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe[2272] kernel32.dll!LoadLibraryExW                         7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] kernel32.dll!LoadLibraryExW                              7C801AF5 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!htons                                         71A12E53 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAGetLastError + 2                           71A13CD0 4 Bytes  [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!closesocket                                   71A13E2B 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!connect                                       71A14A07 6 Bytes  JMP 5F130F5A 
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAEventSelect                                71A164D9 6 Bytes  JMP 5F1F0F5A 
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAAsyncSelect                                71A20991 6 Bytes  JMP 5F1C0F5A 
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAConnect                                    71A20C81 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!WSAAccept                                     71A20DC1 6 Bytes  JMP 5F160F5A 
.text           C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe[2316] WS2_32.dll!accept                                        71A21040 6 Bytes  JMP 5F100F5A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[2520] kernel32.dll!LoadLibraryExW                                         7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Internet Explorer\iexplore.exe[2540] kernel32.dll!FreeLibrary + 15                            7C80AC83 4 Bytes  CALL 7170003D 
.text           C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxParamW                               7E3747AB 5 Bytes  JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxIndirectParamW                       7E382072 5 Bytes  JMP 4467187F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxIndirectA                           7E38A082 5 Bytes  JMP 44671800 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxParamA                               7E38B144 5 Bytes  JMP 44671844 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxExW                                 7E3A0838 5 Bytes  JMP 4467178C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxExA                                 7E3A085C 5 Bytes  JMP 446717C6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!DialogBoxIndirectParamA                       7E3A6D7D 5 Bytes  JMP 446718BA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[2540] USER32.dll!MessageBoxIndirectW                           7E3B64D5 5 Bytes  JMP 445016F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\WINDOWS\system32\hkcmd.exe[2552] kernel32.dll!LoadLibraryExW                                            7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\TPSBattM.exe[2628] kernel32.dll!LoadLibraryExW                                         7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\igfxpers.exe[2640] kernel32.dll!LoadLibraryExW                                         7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Atheros\ACU.exe[2664] kernel32.dll!LoadLibraryExW                                             7C801AF5 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!htons                                                        71A12E53 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAGetLastError + 2                                          71A13CD0 4 Bytes  [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text           C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!closesocket                                                  71A13E2B 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!connect                                                      71A14A07 6 Bytes  JMP 5F130F5A 
.text           C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAEventSelect                                               71A164D9 6 Bytes  JMP 5F1F0F5A 
.text           C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAAsyncSelect                                               71A20991 6 Bytes  JMP 5F1C0F5A 
.text           C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAConnect                                                   71A20C81 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!WSAAccept                                                    71A20DC1 6 Bytes  JMP 5F160F5A 
.text           C:\Programme\Atheros\ACU.exe[2664] WS2_32.dll!accept                                                       71A21040 6 Bytes  JMP 5F100F5A 
.text           C:\Programme\Windows Defender\MSASCui.exe[2700] kernel32.dll!LoadLibraryExW                                7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[2724] kernel32.dll!LoadLibraryExW                                7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\ctfmon.exe[2864] kernel32.dll!LoadLibraryExW                                           7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] kernel32.dll!LoadLibraryExW                                 7C801AF5 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!htons                                            71A12E53 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAGetLastError + 2                              71A13CD0 4 Bytes  [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!closesocket                                      71A13E2B 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!connect                                          71A14A07 6 Bytes  JMP 5F130F5A 
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAEventSelect                                   71A164D9 6 Bytes  JMP 5F1F0F5A 
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAAsyncSelect                                   71A20991 6 Bytes  JMP 5F1C0F5A 
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAConnect                                       71A20C81 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!WSAAccept                                        71A20DC1 6 Bytes  JMP 5F160F5A 
.text           C:\Programme\Rainlendar2\Rainlendar2.exe[2876] WS2_32.dll!accept                                           71A21040 6 Bytes  JMP 5F100F5A 
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] kernel32.dll!LoadLibraryExW                       7C801AF5 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!htons                                  71A12E53 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAGetLastError + 2                    71A13CD0 4 Bytes  [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!closesocket                            71A13E2B 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!connect                                71A14A07 6 Bytes  JMP 5F130F5A 
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAEventSelect                         71A164D9 6 Bytes  JMP 5F1F0F5A 
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAAsyncSelect                         71A20991 6 Bytes  JMP 5F1C0F5A 
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAConnect                             71A20C81 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!WSAAccept                              71A20DC1 6 Bytes  JMP 5F160F5A 
.text           C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[2888] WS2_32.dll!accept                                 71A21040 6 Bytes  JMP 5F100F5A 
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] kernel32.dll!LoadLibraryExW                               7C801AF5 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!htons                                          71A12E53 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAGetLastError + 2                            71A13CD0 4 Bytes  [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!closesocket                                    71A13E2B 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!connect                                        71A14A07 6 Bytes  JMP 5F130F5A 
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAEventSelect                                 71A164D9 6 Bytes  JMP 5F210F5A 
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAAsyncSelect                                 71A20991 6 Bytes  JMP 5F1E0F5A 
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAConnect                                     71A20C81 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!WSAAccept                                      71A20DC1 6 Bytes  JMP 5F160F5A 
.text           C:\Programme\Advanced SystemCare 3\AWC.exe[2904] WS2_32.dll!accept                                         71A21040 6 Bytes  JMP 5F100F5A 
.text           C:\WINDOWS\system32\NOTEPAD.EXE[3008] kernel32.dll!LoadLibraryExW                                          7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\NOTEPAD.EXE[3008] kernel32.dll!FreeLibrary + 15                                        7C80AC83 4 Bytes  CALL 7170003D 
.text           C:\WINDOWS\system32\NOTEPAD.EXE[3036] kernel32.dll!LoadLibraryExW                                          7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\NOTEPAD.EXE[3036] kernel32.dll!FreeLibrary + 15                                        7C80AC83 4 Bytes  CALL 7170003D 
.text           E:\download\87t4nqij.exe[3492] kernel32.dll!LoadLibraryExW                                         7C801AF5 6 Bytes  JMP 5F040F5A 
.text           E:\download\87t4nqij.exe[3492] kernel32.dll!FreeLibrary + 15                                       7C80AC83 4 Bytes  CALL 7170003D 
.text           C:\Programme\Norman\Nvc\bin\nvcoas.exe[3532] kernel32.dll!FreeLibrary + 15                                 7C80AC83 4 Bytes  CALL 7170003D 
.text           C:\WINDOWS\system32\wuauclt.exe[3796] kernel32.dll!FreeLibrary + 15                                        7C80AC83 4 Bytes  CALL 7170003D 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] kernel32.dll!LoadLibraryExW                         7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] kernel32.dll!FreeLibrary + 15                       7C80AC83 4 Bytes  CALL 7170003D 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!htons                                    71A12E53 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAGetLastError + 2                      71A13CD0 4 Bytes  [1E, 00, 1F, 5F] {PUSH DS; ADD [EDI], BL; POP EDI}
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!closesocket                              71A13E2B 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!connect                                  71A14A07 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAEventSelect                           71A164D9 6 Bytes  JMP 5F210F5A 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAAsyncSelect                           71A20991 6 Bytes  JMP 5F160F5A 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAConnect                               71A20C81 6 Bytes  JMP 5F130F5A 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!WSAAccept                                71A20DC1 6 Bytes  JMP 5F100F5A 
.text           C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3808] ws2_32.dll!accept                                   71A21040 6 Bytes  JMP 5F0A0F5A 
.text           C:\Programme\Norman\Nvc\Bin\Nip.exe[3828] kernel32.dll!FreeLibrary + 15                                    7C80AC83 4 Bytes  CALL 7170003D 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                   SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                   fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
         

Alt 07.04.2009, 04:28   #5
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Teil 2, da für einen Post zu lang:

Code:
ATTFilter
---- Files - GMER 1.0.15 ----

File    C:\Recycled\NPROTECT
File    C:\Recycled\NPROTECT\NPROTECT.LOG
File    C:\Recycled\NPROTECT\00000000.INI
File    C:\Recycled\NPROTECT\00000002.INI
File    C:\Recycled\NPROTECT\00000003.INI
File    C:\Recycled\NPROTECT\00000004.INI
File    C:\Recycled\NPROTECT\00000007.edb
File    C:\Recycled\NPROTECT\00000024.JOB
File    C:\Recycled\NPROTECT\00000025.niu
File    C:\Recycled\NPROTECT\00000026.edb
File    C:\Recycled\NPROTECT\00000029
File    C:\Recycled\NPROTECT\00000030
File    C:\Recycled\NPROTECT\00000043
File    C:\Recycled\NPROTECT\00000044
File    C:\Recycled\NPROTECT\00000048.PF
File    C:\Recycled\NPROTECT\00000049.INI
File    C:\Recycled\NPROTECT\00000053.INI
File    C:\Recycled\NPROTECT\00000054.INI
File    C:\Recycled\NPROTECT\00000055.INI
File    C:\Recycled\NPROTECT\00000062.edb
File    C:\Recycled\NPROTECT\00000069.JOB
File    C:\Recycled\NPROTECT\00000076.edb
File    C:\Recycled\NPROTECT\00000090.edb
File    C:\Recycled\NPROTECT\00000095
File    C:\Recycled\NPROTECT\00000096
File    C:\Recycled\NPROTECT\00000103.niu
File    C:\Recycled\NPROTECT\00000107.CAB
File    C:\Recycled\NPROTECT\00000114.edb
File    C:\Recycled\NPROTECT\00000117.ORI
File    C:\Recycled\NPROTECT\00000118.TXT
File    C:\Recycled\NPROTECT\00000121.sol
File    C:\Recycled\NPROTECT\00000122.sol
File    C:\Recycled\NPROTECT\00000123.sol
File    C:\Recycled\NPROTECT\00000124.sol
File    C:\Recycled\NPROTECT\00000125.sol
File    C:\Recycled\NPROTECT\00000126.sol
File    C:\Recycled\NPROTECT\00000127.sol
File    C:\Recycled\NPROTECT\00000128.sol
File    C:\Recycled\NPROTECT\00000129.sol
File    C:\Recycled\NPROTECT\00000130.sol
File    C:\Recycled\NPROTECT\00000131.sol
File    C:\Recycled\NPROTECT\00000132.sol
File    C:\Recycled\NPROTECT\00000133.sol
File    C:\Recycled\NPROTECT\00000134.sol
File    C:\Recycled\NPROTECT\00000135.sol
File    C:\Recycled\NPROTECT\00000136.sol
File    C:\Recycled\NPROTECT\00000137.sol
File    C:\Recycled\NPROTECT\00000138.sol
File    C:\Recycled\NPROTECT\00000139.sol
File    C:\Recycled\NPROTECT\00000140.sol
File    C:\Recycled\NPROTECT\00000141.sol
File    C:\Recycled\NPROTECT\00000142.sol
File    C:\Recycled\NPROTECT\00000143.sol
File    C:\Recycled\NPROTECT\00000144.SOL
File    C:\Recycled\NPROTECT\00000146.bat
File    C:\Recycled\NPROTECT\00000148.txt
File    C:\Recycled\NPROTECT\00000149.exe
File    C:\Recycled\NPROTECT\00000212
File    C:\Recycled\NPROTECT\00000151.bat
File    C:\Recycled\NPROTECT\00000153.INI
File    C:\Recycled\NPROTECT\00000156.INI
File    C:\Recycled\NPROTECT\00000157.INI
File    C:\Recycled\NPROTECT\00000158.INI
File    C:\Recycled\NPROTECT\00000183.PF
File    C:\Recycled\NPROTECT\00000184.PF
File    C:\Recycled\NPROTECT\00000191.PF
File    C:\Recycled\NPROTECT\00000203.JOB
File    C:\Recycled\NPROTECT\00000204.edb
File    C:\Recycled\NPROTECT\00000205.edb
File    C:\Recycled\NPROTECT\00000206
File    C:\Recycled\NPROTECT\00000207
File    C:\Recycled\NPROTECT\00000277
File    C:\Recycled\NPROTECT\00000214.txt
File    C:\Recycled\NPROTECT\00000215.zip
File    C:\Recycled\NPROTECT\00000216
File    C:\Recycled\NPROTECT\00000218.INI
File    C:\Recycled\NPROTECT\00000220.INI
File    C:\Recycled\NPROTECT\00000221.INI
File    C:\Recycled\NPROTECT\00000222.INI
File    C:\Recycled\NPROTECT\00000225.edb
File    C:\Recycled\NPROTECT\00000246.JOB
File    C:\Recycled\NPROTECT\00000250.rbs
File    C:\Recycled\NPROTECT\00000251.ipi
File    C:\Recycled\NPROTECT\00000252.msi
File    C:\Recycled\NPROTECT\00000261.edb
File    C:\Recycled\NPROTECT\00000263.PF
File    C:\Recycled\NPROTECT\00000265.THE
File    C:\Recycled\NPROTECT\00000268
File    C:\Recycled\NPROTECT\00000269
File    C:\Recycled\NPROTECT\00000278
File    C:\Recycled\NPROTECT\00000279
File    C:\Recycled\NPROTECT\00000280
File    C:\Recycled\NPROTECT\00000281
File    C:\Recycled\NPROTECT\00000282
File    C:\Recycled\NPROTECT\00000283.db
File    C:\Recycled\NPROTECT\00000284.SYS
File    C:\Recycled\NPROTECT\00000288.ndf
File    C:\Recycled\NPROTECT\00000289.ndf
File    C:\Recycled\NPROTECT\00000290.db
File    C:\Recycled\NPROTECT\00000291
File    C:\Recycled\NPROTECT\00000292
File    C:\Recycled\NPROTECT\00000293
File    C:\Recycled\NPROTECT\00000294
File    C:\Recycled\NPROTECT\00000295
File    C:\Recycled\NPROTECT\00000296
File    C:\Recycled\NPROTECT\00000298.SBU
File    C:\Recycled\NPROTECT\00000299.db
File    C:\Recycled\NPROTECT\00000300.DSC
File    C:\Recycled\NPROTECT\00000301.db
File    C:\Recycled\NPROTECT\00000302.SBU
File    C:\Recycled\NPROTECT\00000308.ini
File    C:\Recycled\NPROTECT\00000309.ini
File    C:\Recycled\NPROTECT\00000310.SOL
File    C:\Recycled\NPROTECT\00000311.SOL
File    C:\Recycled\NPROTECT\00000312.sol
File    C:\Recycled\NPROTECT\00000313.sol
File    C:\Recycled\NPROTECT\00000314.sol
File    C:\Recycled\NPROTECT\00000318.log
File    C:\Recycled\NPROTECT\00000322.log
File    C:\Recycled\NPROTECT\00000326.LOG
File    C:\Recycled\NPROTECT\00000330.log
File    C:\Recycled\NPROTECT\00000331
File    C:\Recycled\NPROTECT\00000333.GID
File    C:\Recycled\NPROTECT\00000334.GID
File    C:\Recycled\NPROTECT\00000335.~TH
File    C:\Recycled\NPROTECT\00000336.~AN
File    C:\Recycled\NPROTECT\00000337.WAB
File    C:\Recycled\NPROTECT\00000338.GID
File    C:\Recycled\NPROTECT\00000339.GID
File    C:\Recycled\NPROTECT\00000340.GID
File    C:\Recycled\NPROTECT\00000341.GID
File    C:\Recycled\NPROTECT\00000342.PRV
File    C:\Recycled\NPROTECT\00000343.SYD
File    C:\Recycled\NPROTECT\00000344.SYD
File    C:\Recycled\NPROTECT\00000345.DB
File    C:\Recycled\NPROTECT\00000346.DB
File    C:\Recycled\NPROTECT\00000347.DB
File    C:\Recycled\NPROTECT\00000348.DB
File    C:\Recycled\NPROTECT\00000349.DB
File    C:\Recycled\NPROTECT\00000350.DB
File    C:\Recycled\NPROTECT\00000351.DB
File    C:\Recycled\NPROTECT\00000352.DB
File    C:\Recycled\NPROTECT\00000353.DB
File    C:\Recycled\NPROTECT\00000354.DB
File    C:\Recycled\NPROTECT\00000355.DB
File    C:\Recycled\NPROTECT\00000356.DB
File    C:\Recycled\NPROTECT\00000357.DB
File    C:\Recycled\NPROTECT\00000358.DB
File    C:\Recycled\NPROTECT\00000359.DB
File    C:\Recycled\NPROTECT\00000360.DB
File    C:\Recycled\NPROTECT\00000361.DB
File    C:\Recycled\NPROTECT\00000362.DB
File    C:\Recycled\NPROTECT\00000363.DB
File    C:\Recycled\NPROTECT\00000364.DB
File    C:\Recycled\NPROTECT\00000365.DB
File    C:\Recycled\NPROTECT\00000366.DB
File    C:\Recycled\NPROTECT\00000367.DB
File    C:\Recycled\NPROTECT\00000368.DB
File    C:\Recycled\NPROTECT\00000369.DB
File    C:\Recycled\NPROTECT\00000370.DB
File    C:\Recycled\NPROTECT\00000371.DB
File    C:\Recycled\NPROTECT\00000372.DB
File    C:\Recycled\NPROTECT\00000373.DB
File    C:\Recycled\NPROTECT\00000374.DB
File    C:\Recycled\NPROTECT\00000375.DB
File    C:\Recycled\NPROTECT\00000376.DB
File    C:\Recycled\NPROTECT\00000377.DB
File    C:\Recycled\NPROTECT\00000378.DB
File    C:\Recycled\NPROTECT\00000379.DB
File    C:\Recycled\NPROTECT\00000380.DB
File    C:\Recycled\NPROTECT\00000381.DB
File    C:\Recycled\NPROTECT\00000382.DB
File    C:\Recycled\NPROTECT\00000383.DB
File    C:\Recycled\NPROTECT\00000384.DB
File    C:\Recycled\NPROTECT\00000385.DB
File    C:\Recycled\NPROTECT\00000386.DB
File    C:\Recycled\NPROTECT\00000387.DB
File    C:\Recycled\NPROTECT\00000388.DB
File    C:\Recycled\NPROTECT\00000389.DB
File    C:\Recycled\NPROTECT\00000390.DB
File    C:\Recycled\NPROTECT\00000391.DB
File    C:\Recycled\NPROTECT\00000392.DB
File    C:\Recycled\NPROTECT\00000393.DB
File    C:\Recycled\NPROTECT\00000394.DB
File    C:\Recycled\NPROTECT\00000395.DB
File    C:\Recycled\NPROTECT\00000396.DB
File    C:\Recycled\NPROTECT\00000397.DB
File    C:\Recycled\NPROTECT\00000398.DB
File    C:\Recycled\NPROTECT\00000399.DB
File    C:\Recycled\NPROTECT\00000400.DB
File    C:\Recycled\NPROTECT\00000401.DB
File    C:\Recycled\NPROTECT\00000402.DB
File    C:\Recycled\NPROTECT\00000403.DB
File    C:\Recycled\NPROTECT\00000404.DB
File    C:\Recycled\NPROTECT\00000405.DB
File    C:\Recycled\NPROTECT\00000406.DB
File    C:\Recycled\NPROTECT\00000407.DB
File    C:\Recycled\NPROTECT\00000408.DB
File    C:\Recycled\NPROTECT\00000409.DB
File    C:\Recycled\NPROTECT\00000410.DB
File    C:\Recycled\NPROTECT\00000411.DB
File    C:\Recycled\NPROTECT\00000412.DB
File    C:\Recycled\NPROTECT\00000413.DB
File    C:\Recycled\NPROTECT\00000414.DB
File    C:\Recycled\NPROTECT\00000415.DB
File    C:\Recycled\NPROTECT\00000416.DB
File    C:\Recycled\NPROTECT\00000417.DB
File    C:\Recycled\NPROTECT\00000418.DB
File    C:\Recycled\NPROTECT\00000419.DB
File    C:\Recycled\NPROTECT\00000420.DB
File    C:\Recycled\NPROTECT\00000421.DB
File    C:\Recycled\NPROTECT\00000422.DB
File    C:\Recycled\NPROTECT\00000423.DB
File    C:\Recycled\NPROTECT\00000424.DB
File    C:\Recycled\NPROTECT\00000425.DB
File    C:\Recycled\NPROTECT\00000426.DB
File    C:\Recycled\NPROTECT\00000427.DB
File    C:\Recycled\NPROTECT\00000428.DB
File    C:\Recycled\NPROTECT\00000429.DB
File    C:\Recycled\NPROTECT\00000430.DB
File    C:\Recycled\NPROTECT\00000431.DB
File    C:\Recycled\NPROTECT\00000432.DB
File    C:\Recycled\NPROTECT\00000433.DB
File    C:\Recycled\NPROTECT\00000434.DB
File    C:\Recycled\NPROTECT\00000435.DB
File    C:\Recycled\NPROTECT\00000436.DB
File    C:\Recycled\NPROTECT\00000437.DB
File    C:\Recycled\NPROTECT\00000438.DB
File    C:\Recycled\NPROTECT\00000439.DB
File    C:\Recycled\NPROTECT\00000440.DB
File    C:\Recycled\NPROTECT\00000441.DB
File    C:\Recycled\NPROTECT\00000442.DB
File    C:\Recycled\NPROTECT\00000443.DB
File    C:\Recycled\NPROTECT\00000444.DB
File    C:\Recycled\NPROTECT\00000445.chk
File    C:\Recycled\NPROTECT\00000446.chk
File    C:\Recycled\NPROTECT\00000447.chk
File    C:\Recycled\NPROTECT\00000448.chk
File    C:\Recycled\NPROTECT\00000449.chk
File    C:\Recycled\NPROTECT\00000450.dmp
File    C:\Recycled\NPROTECT\00000451.dmp
File    C:\Recycled\NPROTECT\00000452.chk
File    C:\Recycled\NPROTECT\00000453.chk
File    C:\Recycled\NPROTECT\00000454.WBK
File    C:\Recycled\NPROTECT\00000455.STA
File    C:\Recycled\NPROTECT\00000456.STA
File    C:\Recycled\NPROTECT\00000457.PSM
File    C:\Recycled\NPROTECT\00000458.exe
File    C:\Recycled\NPROTECT\00000459.dll
File    C:\Recycled\NPROTECT\00000460.dll
File    C:\Recycled\NPROTECT\00000461.dll
File    C:\Recycled\NPROTECT\00000462.INF
File    C:\Recycled\NPROTECT\00000463.INF
File    C:\Recycled\NPROTECT\00000464.INF
File    C:\Recycled\NPROTECT\00000465.INF
File    C:\Recycled\NPROTECT\00000466.inf
File    C:\Recycled\NPROTECT\00000467.inf
File    C:\Recycled\NPROTECT\00000468.url
File    C:\Recycled\NPROTECT\00000469.cat
File    C:\Recycled\NPROTECT\00000470.cat
File    C:\Recycled\NPROTECT\00000471.txt
File    C:\Recycled\NPROTECT\00000472.ver
File    C:\Recycled\NPROTECT\00000473.exe
File    C:\Recycled\NPROTECT\00000474.dll
File    C:\Recycled\NPROTECT\00000475.STA
File    C:\Recycled\NPROTECT\00000476.rq0
File    C:\Recycled\NPROTECT\00000477.sys
File    C:\Recycled\NPROTECT\00000478.sys
File    C:\Recycled\NPROTECT\00000479.STA
File    C:\Recycled\NPROTECT\00000480.STA
File    C:\Recycled\NPROTECT\00000481.PSM
File    C:\Recycled\NPROTECT\00000482.INF
File    C:\Recycled\NPROTECT\00000483.INF
File    C:\Recycled\NPROTECT\00000484.INF
File    C:\Recycled\NPROTECT\00000485.INF
File    C:\Recycled\NPROTECT\00000486.inf
File    C:\Recycled\NPROTECT\00000487.exe
File    C:\Recycled\NPROTECT\00000488.inf
File    C:\Recycled\NPROTECT\00000489.url
File    C:\Recycled\NPROTECT\00000490.dll
File    C:\Recycled\NPROTECT\00000491.dll
File    C:\Recycled\NPROTECT\00000492.cat
File    C:\Recycled\NPROTECT\00000493.txt
File    C:\Recycled\NPROTECT\00000494.ver
File    C:\Recycled\NPROTECT\00000495.exe
File    C:\Recycled\NPROTECT\00000496.dll
File    C:\Recycled\NPROTECT\00000497.STA
File    C:\Recycled\NPROTECT\00000498.rq0
File    C:\Recycled\NPROTECT\00000499.dll
File    C:\Recycled\NPROTECT\00000500.dll
File    C:\Recycled\NPROTECT\00000501.STA
File    C:\Recycled\NPROTECT\00000502.STA
File    C:\Recycled\NPROTECT\00000503.PSM
File    C:\Recycled\NPROTECT\00000504.exe
File    C:\Recycled\NPROTECT\00000505.INF
File    C:\Recycled\NPROTECT\00000506.INF
File    C:\Recycled\NPROTECT\00000507.INF
File    C:\Recycled\NPROTECT\00000508.INF
File    C:\Recycled\NPROTECT\00000509.inf
File    C:\Recycled\NPROTECT\00000510.inf
File    C:\Recycled\NPROTECT\00000511.url
File    C:\Recycled\NPROTECT\00000512.dll
File    C:\Recycled\NPROTECT\00000513.dll
File    C:\Recycled\NPROTECT\00000514.cat
File    C:\Recycled\NPROTECT\00000515.txt
File    C:\Recycled\NPROTECT\00000516.ver
File    C:\Recycled\NPROTECT\00000517.exe
File    C:\Recycled\NPROTECT\00000518.dll
File    C:\Recycled\NPROTECT\00000519.STA
File    C:\Recycled\NPROTECT\00000520.rq0
File    C:\Recycled\NPROTECT\00000521.dll
File    C:\Recycled\NPROTECT\00000522.dll
File    C:\Recycled\NPROTECT\00000528.INI
File    C:\Recycled\NPROTECT\00000530.INI
File    C:\Recycled\NPROTECT\00000532.INI
File    C:\Recycled\NPROTECT\00000533.INI
File    C:\Recycled\NPROTECT\00000534.THE
File    C:\Recycled\NPROTECT\00000548.JOB
File    C:\Recycled\NPROTECT\00000549.PF
File    C:\Recycled\NPROTECT\00000551.THE
File    C:\Recycled\NPROTECT\00000552.dat
File    C:\Recycled\NPROTECT\00000553.BMP
File    C:\Recycled\NPROTECT\00000555.niu
File    C:\Recycled\NPROTECT\00000556.edb
File    C:\Recycled\NPROTECT\00000558
File    C:\Recycled\NPROTECT\00000559
File    C:\Recycled\NPROTECT\00000563.INI
File    C:\Recycled\NPROTECT\00000565.INI
File    C:\Recycled\NPROTECT\00000567.INI
File    C:\Recycled\NPROTECT\00000568.INI
File    C:\Recycled\NPROTECT\00000585.JOB
File    C:\Recycled\NPROTECT\00000586.edb
File    C:\Recycled\NPROTECT\00000587.niu
File    C:\Recycled\NPROTECT\00000589.INI
File    C:\Recycled\NPROTECT\00000591.INI
File    C:\Recycled\NPROTECT\00000593.INI
File    C:\Recycled\NPROTECT\00000594.INI
File    C:\Recycled\NPROTECT\00000611.JOB
File    C:\Recycled\NPROTECT\00000612.383
File    C:\Recycled\NPROTECT\00000613.400
File    C:\Recycled\NPROTECT\00000614.400
File    C:\Recycled\NPROTECT\00000615.487
File    C:\Recycled\NPROTECT\00000616.487
File    C:\Recycled\NPROTECT\00000617.141
File    C:\Recycled\NPROTECT\00000618.141
File    C:\Recycled\NPROTECT\00000619.161
File    C:\Recycled\NPROTECT\00000620.161
File    C:\Recycled\NPROTECT\00000621.964
File    C:\Recycled\NPROTECT\00000622.964
File    C:\Recycled\NPROTECT\00000623.218
File    C:\Recycled\NPROTECT\00000624.218
File    C:\Recycled\NPROTECT\00000625.734
File    C:\Recycled\NPROTECT\00000626.734
File    C:\Recycled\NPROTECT\00000627.801
File    C:\Recycled\NPROTECT\00000628.801
File    C:\Recycled\NPROTECT\00000629.edb
File    C:\Recycled\NPROTECT\00000630.ini
File    C:\Recycled\NPROTECT\00000631.ini
File    C:\Recycled\NPROTECT\00000632.txt
File    C:\Recycled\NPROTECT\00000633.DAT
File    C:\Recycled\NPROTECT\00000637.log
File    C:\Recycled\NPROTECT\00000641.log
File    C:\Recycled\NPROTECT\00000645.LOG
File    C:\Recycled\NPROTECT\00000649.log
File    C:\Recycled\NPROTECT\00000653.INI
File    C:\Recycled\NPROTECT\00000655.INI
File    C:\Recycled\NPROTECT\00000657.INI
File    C:\Recycled\NPROTECT\00000658.INI
File    C:\Recycled\NPROTECT\00000676.JOB
File    C:\Recycled\NPROTECT\00000677.niu
File    C:\Recycled\NPROTECT\00000679.edb
File    C:\Recycled\NPROTECT\00000681.ini
File    C:\Recycled\NPROTECT\00000682.ini
File    C:\Recycled\NPROTECT\00000689
File    C:\Recycled\NPROTECT\00000690
File    C:\Recycled\NPROTECT\00000760.niu
File    C:\Recycled\NPROTECT\00000696.INI
File    C:\Recycled\NPROTECT\00000698.INI
File    C:\Recycled\NPROTECT\00000700.INI
File    C:\Recycled\NPROTECT\00000701.INI
File    C:\Recycled\NPROTECT\00000719.JPG
File    C:\Recycled\NPROTECT\00000720.JOB
File    C:\Recycled\NPROTECT\00000721.edb
File    C:\Recycled\NPROTECT\00000766.sys
File    C:\Recycled\NPROTECT\00000726.INI
File    C:\Recycled\NPROTECT\00000728.INI
File    C:\Recycled\NPROTECT\00000730.INI
File    C:\Recycled\NPROTECT\00000731.INI
File    C:\Recycled\NPROTECT\00000749.JOB
File    C:\Recycled\NPROTECT\00000750.edb
File    C:\Recycled\NPROTECT\00000751.edb
File    C:\Recycled\NPROTECT\00000753.THE
File    C:\Recycled\NPROTECT\00000754
File    C:\Recycled\NPROTECT\00000755
File    C:\Recycled\NPROTECT\00000767.sys
File    C:\Recycled\NPROTECT\00000768.PF
File    C:\Recycled\NPROTECT\00000769.PF
File    C:\Recycled\NPROTECT\00000770.PF
File    C:\Recycled\NPROTECT\00000771.PF
File    C:\Recycled\NPROTECT\00000772.PF
File    C:\Recycled\NPROTECT\00000773.PF
File    C:\Recycled\NPROTECT\00000774.PF
File    C:\Recycled\NPROTECT\00000775.PF
File    C:\Recycled\NPROTECT\00000776.PF
File    C:\Recycled\NPROTECT\00000777.PF
File    C:\Recycled\NPROTECT\00000778.PF
File    C:\Recycled\NPROTECT\00000779.PF
File    C:\Recycled\NPROTECT\00000780.PF
File    C:\Recycled\NPROTECT\00000781.PF
File    C:\Recycled\NPROTECT\00000782.PF
File    C:\Recycled\NPROTECT\00000783.PF
File    C:\Recycled\NPROTECT\00000784.PF
File    C:\Recycled\NPROTECT\00000785.PF
File    C:\Recycled\NPROTECT\00000786.PF
File    C:\Recycled\NPROTECT\00000787.PF
File    C:\Recycled\NPROTECT\00000788.PF
File    C:\Recycled\NPROTECT\00000789.PF
File    C:\Recycled\NPROTECT\00000790.PF
File    C:\Recycled\NPROTECT\00000791.PF
File    C:\Recycled\NPROTECT\00000792.PF
File    C:\Recycled\NPROTECT\00000793.PF
File    C:\Recycled\NPROTECT\00000794.PF
File    C:\Recycled\NPROTECT\00000795.PF
File    C:\Recycled\NPROTECT\00000796.PF
File    C:\Recycled\NPROTECT\00000797.PF
File    C:\Recycled\NPROTECT\00000798.PF
File    C:\Recycled\NPROTECT\00000799.PF
File    C:\Recycled\NPROTECT\00000800.PF
File    C:\Recycled\NPROTECT\00000801.PF
File    C:\Recycled\NPROTECT\00000802.PF
File    C:\Recycled\NPROTECT\00000803.PF
File    C:\Recycled\NPROTECT\00000804.PF
File    C:\Recycled\NPROTECT\00000805.PF
File    C:\Recycled\NPROTECT\00000806.PF
File    C:\Recycled\NPROTECT\00000807.PF
File    C:\Recycled\NPROTECT\00000808.PF
File    C:\Recycled\NPROTECT\00000809.PF
File    C:\Recycled\NPROTECT\00000810.PF
File    C:\Recycled\NPROTECT\00000811.PF
File    C:\Recycled\NPROTECT\00000812.PF
File    C:\Recycled\NPROTECT\00000813.PF
File    C:\Recycled\NPROTECT\00000814.PF
File    C:\Recycled\NPROTECT\00000815.PF
File    C:\Recycled\NPROTECT\00000816.PF
File    C:\Recycled\NPROTECT\00000817.PF
File    C:\Recycled\NPROTECT\00000818.PF
File    C:\Recycled\NPROTECT\00000819.PF
File    C:\Recycled\NPROTECT\00000820.PF
File    C:\Recycled\NPROTECT\00000821.PF
File    C:\Recycled\NPROTECT\00000822.PF
File    C:\Recycled\NPROTECT\00000823.PF
File    C:\Recycled\NPROTECT\00000824.PF
File    C:\Recycled\NPROTECT\00000825.PF
File    C:\Recycled\NPROTECT\00000826.PF
File    C:\Recycled\NPROTECT\00000827.PF
File    C:\Recycled\NPROTECT\00000828.PF
File    C:\Recycled\NPROTECT\00000829.PF
File    C:\Recycled\NPROTECT\00000830.PF
File    C:\Recycled\NPROTECT\00000831.PF
File    C:\Recycled\NPROTECT\00000832.PF
File    C:\Recycled\NPROTECT\00000833.PF
File    C:\Recycled\NPROTECT\00000834.PF
File    C:\Recycled\NPROTECT\00000835.PF
File    C:\Recycled\NPROTECT\00000836.PF
File    C:\Recycled\NPROTECT\00000837.PF
File    C:\Recycled\NPROTECT\00000838.PF
File    C:\Recycled\NPROTECT\00000839.PF
File    C:\Recycled\NPROTECT\00000840.PF
File    C:\Recycled\NPROTECT\00000841.PF
File    C:\Recycled\NPROTECT\00000842.PF
File    C:\Recycled\NPROTECT\00000843.PF
File    C:\Recycled\NPROTECT\00000844.PF
File    C:\Recycled\NPROTECT\00000845.PF
File    C:\Recycled\NPROTECT\00000846.PF
File    C:\Recycled\NPROTECT\00000847.PF
File    C:\Recycled\NPROTECT\00000848.PF
File    C:\Recycled\NPROTECT\00000849.PF
File    C:\Recycled\NPROTECT\00000850.PF
File    C:\Recycled\NPROTECT\00000851.PF
File    C:\Recycled\NPROTECT\00000852.PF
File    C:\Recycled\NPROTECT\00000853.PF
File    C:\Recycled\NPROTECT\00000854.PF
File    C:\Recycled\NPROTECT\00000855.PF
File    C:\Recycled\NPROTECT\00000856.PF
File    C:\Recycled\NPROTECT\00000857.PF
File    C:\Recycled\NPROTECT\00000858.PF
File    C:\Recycled\NPROTECT\00000859.PF
File    C:\Recycled\NPROTECT\00000860.PF
File    C:\Recycled\NPROTECT\00000861.PF
File    C:\Recycled\NPROTECT\00000862.PF
File    C:\Recycled\NPROTECT\00000863.PF
File    C:\Recycled\NPROTECT\00000865.niu
File    C:\Recycled\NPROTECT\00000869.niu
File    C:\Recycled\NPROTECT\00000876.niu
File    C:\Recycled\NPROTECT\00000878.edb
File    C:\Recycled\NPROTECT\00000881.ndf
File    C:\Recycled\NPROTECT\00000882.ndf
File    C:\Recycled\NPROTECT\00000883.ndf
File    C:\Recycled\NPROTECT\00000884.THE
File    C:\Recycled\NPROTECT\00000885.BMP
File    C:\Recycled\NPROTECT\00000894.CAB
File    C:\Recycled\NPROTECT\00000898.sol
File    C:\Recycled\NPROTECT\00000899.sol
File    C:\Recycled\NPROTECT\00000900.sol
File    C:\Recycled\NPROTECT\00000901.sol
File    C:\Recycled\NPROTECT\00000902.sol
File    C:\Recycled\NPROTECT\00000903.sol
File    C:\Recycled\NPROTECT\00000904.sol
File    C:\Recycled\NPROTECT\00000905.sol
File    C:\Recycled\NPROTECT\00000906.sol
File    C:\Recycled\NPROTECT\00000907.sol
File    C:\Recycled\NPROTECT\00000908.sol
File    C:\Recycled\NPROTECT\00000909.sol
File    C:\Recycled\NPROTECT\00000910.sol
File    C:\Recycled\NPROTECT\00000911.sol
File    C:\Recycled\NPROTECT\00000912.sol
File    C:\Recycled\NPROTECT\00000913.sol
File    C:\Recycled\NPROTECT\00000917.edb
File    C:\Recycled\NPROTECT\00000920.niu
File    C:\Recycled\NPROTECT\00000922.NSA
File    C:\Recycled\NPROTECT\00000923.NSA
File    C:\Recycled\NPROTECT\00000943.chm
File    C:\Recycled\NPROTECT\00000944.txt
File    C:\Recycled\NPROTECT\00000945.rtf
File    C:\Recycled\NPROTECT\00000946.ref
File    C:\Recycled\NPROTECT\00000947.lng
File    C:\Recycled\NPROTECT\00000948.LNG
File    C:\Recycled\NPROTECT\00000949.lng
File    C:\Recycled\NPROTECT\00000950.LNG
File    C:\Recycled\NPROTECT\00000951.LNG
File    C:\Recycled\NPROTECT\00000952.lng
File    C:\Recycled\NPROTECT\00000953.lng
File    C:\Recycled\NPROTECT\00000954.lng
File    C:\Recycled\NPROTECT\00000955.lng
File    C:\Recycled\NPROTECT\00000956.lng
File    C:\Recycled\NPROTECT\00000957.lng
File    C:\Recycled\NPROTECT\00000958.lng
File    C:\Recycled\NPROTECT\00000959.lng
File    C:\Recycled\NPROTECT\00000960.lng
File    C:\Recycled\NPROTECT\00000961.LNG
File    C:\Recycled\NPROTECT\00000962.lng
File    C:\Recycled\NPROTECT\00000963.lng
File    C:\Recycled\NPROTECT\00000964.LNG
File    C:\Recycled\NPROTECT\00000965.LNG
File    C:\Recycled\NPROTECT\00000966.lng
File    C:\Recycled\NPROTECT\00000967.LNG
File    C:\Recycled\NPROTECT\00000968.LNG
File    C:\Recycled\NPROTECT\00000969.lng
File    C:\Recycled\NPROTECT\00000970.lng
File    C:\Recycled\NPROTECT\00000971.lng
File    C:\Recycled\NPROTECT\00000972.lng
File    C:\Recycled\NPROTECT\00000973.LNG
File    C:\Recycled\NPROTECT\00000974.lng
File    C:\Recycled\NPROTECT\00000975.lng
File    C:\Recycled\NPROTECT\00000976.lng
File    C:\Recycled\NPROTECT\00000977.LNG
File    C:\Recycled\NPROTECT\00000979.exe
File    C:\Recycled\NPROTECT\00000980.SYS
File    C:\Recycled\NPROTECT\00000981.dll
File    C:\Recycled\NPROTECT\00000982.exe
File    C:\Recycled\NPROTECT\00000984.EXE
File    C:\Recycled\NPROTECT\00000985.sys
File    C:\Recycled\NPROTECT\00000986.LNK
File    C:\Recycled\NPROTECT\00000987.LNK
File    C:\Recycled\NPROTECT\00000988.LNK
File    C:\Recycled\NPROTECT\00000990.exe
File    C:\Recycled\NPROTECT\00001003.edb
File    C:\Recycled\NPROTECT\00001007.TXT
File    C:\Recycled\NPROTECT\00001008.TXT

---- EOF - GMER 1.0.15 ----
         


Geändert von help me (07.04.2009 um 04:29 Uhr) Grund: Der Beschreibungstext über dem Log war weg.

Alt 07.04.2009, 04:40   #6
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Nachdem mittlerweile meine exe-Dateiendung bei MBAM wieder funktioniert und meine Windowssuche auch, habe ich geschaut, wo die beiden Dateien RTHDCPL.exe und dann ALCMTR.exe liegen. Und mich beunruhigt etwas, dass die Dateien drei mal vorhanden sind, im Programmordner von Realtek selbst, dann unter den Systemdateien in c:\windows\system32\reinstallbackups\0011\DriverFiles) und unter c:\windows\. Mhm.

Daraufhin hab ich die RTHDCPL.exe mal bei Virus Total hochgeladen.

Code:
ATTFilter
Datei RTHDCPL.exe empfangen 2009.01.12 16:45:49 (CET)
Status: Beendet 

Ergebnis: 0/37 (0.00%)
 Filter Drucken der Ergebnisse  
Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.0.0.73 2009.01.12 - 
AhnLab-V3 2009.1.10.0 2009.01.12 - 
AntiVir 7.9.0.54 2009.01.12 - 
Authentium 5.1.0.4 2009.01.12 - 
Avast 4.8.1281.0 2009.01.12 - 
AVG 8.0.0.229 2009.01.12 - 
BitDefender 7.2 2009.01.12 - 
CAT-QuickHeal 10.00 2009.01.12 - 
ClamAV 0.94.1 2009.01.12 - 
Comodo 919 2009.01.12 - 
DrWeb 4.44.0.09170 2009.01.12 - 
eSafe 7.0.17.0 2009.01.12 - 
eTrust-Vet 31.6.6304 2009.01.12 - 
F-Prot 4.4.4.56 2009.01.12 - 
F-Secure 8.0.14470.0 2009.01.12 - 
Fortinet 3.117.0.0 2009.01.11 - 
GData 19 2009.01.12 - 
Ikarus T3.1.1.45.0 2009.01.12 - 
K7AntiVirus 7.10.584 2009.01.09 - 
Kaspersky 7.0.0.125 2009.01.12 - 
McAfee 5492 2009.01.11 - 
McAfee+Artemis 5492 2009.01.11 - 
Microsoft 1.4205 2009.01.12 - 
NOD32 3759 2009.01.12 - 
Norman 5.93.01 2009.01.12 - 
Panda 9.4.3.3 2009.01.11 - 
PCTools 4.4.2.0 2009.01.12 - 
Prevx1 V2 2009.01.12 - 
Rising 21.12.02.00 2009.01.12 - 
SecureWeb-Gateway 6.7.6 2009.01.12 - 
Sophos 4.37.0 2009.01.12 - 
Sunbelt 3.2.1831.2 2009.01.09 - 
TheHacker 6.3.1.4.218 2009.01.11 - 
TrendMicro 8.700.0.1004 2009.01.12 - 
VBA32 3.12.8.10 2009.01.12 - 
ViRobot 2009.1.12.1554 2009.01.12 - 
VirusBuster 4.5.11.0 2009.01.12 - 
weitere Informationen 
File size: 16859648 bytes 
MD5...: 408ddea6399d173246a62b7bd9d776dd 
SHA1..: 81b298535f2ebeb43c210227360faf085ef06404 
SHA256: 021df0f78d9807b61347d60991eaccdee13ad1a44c3b0ae5ebc4824571e2c7ea 
SHA512: 803566483e2a3031fa13d8d01a2958b8eb6ed968ba49374f89536f1e863c0ba9
53b8bdf4718b24124df27d353d4b27de9b3852a77dc0faf238941009c8c691f0
 
ssdeep: 98304:gzrJAOl2EgAR6jA5s/ZPAQAhFoQDme0BRBRBRBix4B0BRBRBRBix4QjnPB
RBRBRI:gz2ejRxQ9OVdedjCCSIpVw
 
PEiD..: - 
TrID..: File type identification
Windows OCX File (48.2%)
InstallShield setup (16.8%)
Win32 EXE PECompact compressed (generic) (16.2%)
Win32 Executable Delphi generic (5.7%)
DOS Executable Borland C++ (5.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401a28
timedatestamp.....: 0x479eda24 (Tue Jan 29 07:47:48 2008)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x230000 0x22fa00 6.46 85ed80128d05ab0481a6611efb1748f4
.data 0x231000 0x111000 0x3ae00 5.21 d2fc623cf2b2b01d4a3f0f091668d7d3
.tls 0x342000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rdata 0x343000 0x1000 0x200 0.21 e4727f0aac154b56d68522b150b816d6
.idata 0x344000 0x4000 0x3800 5.09 4a68cbe229cb57a5ad6a6d40eb705458
.edata 0x348000 0x58000 0x57600 5.88 bce5e3fc91adcafeb11a5b23069cb392
.rsrc 0x3a0000 0xd28000 0xd27800 7.39 23180e871955a92e1e744b5122982e35
.reloc 0x10c8000 0x27000 0x26a00 6.63 c8526c7f06f157cbc1a1fa0b72a36787

( 16 imports ) 
> DSOUND.DLL: DirectSoundCreate, DirectSoundEnumerateA
> HHCTRL.OCX: -
> SETUPAPI.DLL: SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInfo, SetupDiEnumDeviceInterfaces, SetupDiGetClassDevsA, SetupDiGetDeviceInstanceIdA, SetupDiGetDeviceInterfaceDetailA, SetupDiGetDeviceRegistryPropertyA
> ADVAPI32.DLL: RegCloseKey, RegCreateKeyA, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegEnumValueA, RegFlushKey, RegOpenKeyA, RegOpenKeyExA, RegQueryInfoKeyA, RegQueryValueExA, RegSetValueExA
> KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateEventA, CreateFileA, CreateMutexA, CreateProcessA, CreateThread, DeleteCriticalSection, DeleteFileA, DeviceIoControl, EnterCriticalSection, EnumCalendarInfoA, ExitProcess, FileTimeToDosDateTime, FileTimeToLocalFileTime, FindClose, FindFirstFileA, FindNextFileA, FindResourceA, FormatMessageA, FreeLibrary, FreeResource, GetACP, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetCurrentProcessId, GetCurrentThread, GetCurrentThreadId, GetDateFormatA, GetDiskFreeSpaceA, GetEnvironmentStrings, GetExitCodeProcess, GetExitCodeThread, GetFileAttributesA, GetFileSize, GetFileType, GetFullPathNameA, GetLastError, GetLocalTime, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetOEMCP, GetPrivateProfileStringA, GetProcAddress, GetProcessHeap, GetProfileStringA, GetStartupInfoA, GetStdHandle, GetStringTypeExA, GetStringTypeW, GetSystemDefaultLCID, GetSystemDirectoryA, GetSystemInfo, GetSystemPowerStatus, GetSystemTime, GetTempFileNameA, GetTempPathA, GetThreadLocale, GetThreadPriority, GetTickCount, GetTimeZoneInformation, GetVersion, GetVersionExA, GetWindowsDirectoryA, GlobalAddAtomA, GlobalAlloc, GlobalDeleteAtom, GlobalFindAtomA, GlobalFree, GlobalHandle, GlobalLock, GlobalReAlloc, GlobalSize, GlobalUnlock, HeapAlloc, HeapFree, InitializeCriticalSection, InterlockedDecrement, InterlockedIncrement, LCMapStringA, LeaveCriticalSection, LoadLibraryA, LoadLibraryExA, LoadResource, LocalAlloc, LocalFree, LockResource, MulDiv, MultiByteToWideChar, OutputDebugStringA, QueryPerformanceCounter, QueryPerformanceFrequency, RaiseException, ReadFile, RemoveDirectoryA, ResetEvent, ResumeThread, RtlUnwind, SearchPathA, SetConsoleCtrlHandler, SetCurrentDirectoryA, SetEndOfFile, SetErrorMode, SetEvent, SetFilePointer, SetHandleCount, SetLastError, SetThreadLocale, SetThreadPriority, SizeofResource, Sleep, TerminateProcess, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualQuery, WaitForMultipleObjects, WaitForSingleObject, WideCharToMultiByte, WinExec, WriteFile, WritePrivateProfileStringA, lstrcatA, lstrcmpA, lstrcmpiA, lstrcpyA, lstrcpynA, lstrlenA
> MPR.DLL: WNetCloseEnum, WNetEnumResourceA, WNetGetUniversalNameA, WNetOpenEnumA
> VERSION.DLL: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, EnumPrintersA, OpenPrinterA
> COMCTL32.DLL: ImageList_Add, ImageList_BeginDrag, ImageList_Create, ImageList_Destroy, ImageList_DragEnter, ImageList_DragLeave, ImageList_DragMove, ImageList_DragShowNolock, ImageList_Draw, ImageList_DrawEx, ImageList_EndDrag, ImageList_GetBkColor, ImageList_GetDragImage, ImageList_GetIcon, ImageList_GetIconSize, ImageList_GetImageCount, ImageList_Read, ImageList_Remove, ImageList_Replace, ImageList_ReplaceIcon, ImageList_SetBkColor, ImageList_SetDragCursorImage, ImageList_SetIconSize, ImageList_Write, -
> COMDLG32.DLL: ChooseColorA
> GDI32.DLL: Arc, BitBlt, CombineRgn, CopyEnhMetaFileA, CreateBitmap, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDCA, CreateDIBSection, CreateDIBitmap, CreateEllipticRgn, CreateFontA, CreateFontIndirectA, CreateHalftonePalette, CreateICA, CreatePalette, CreatePenIndirect, CreatePolygonRgn, CreateRectRgn, CreateRoundRectRgn, CreateSolidBrush, DPtoLP, DeleteDC, DeleteEnhMetaFile, DeleteObject, Ellipse, EndDoc, EndPage, EnumFontFamiliesA, ExcludeClipRect, ExtCreateRegion, ExtTextOutA, FillRgn, FrameRgn, GdiFlush, GetBitmapBits, GetBrushOrgEx, GetClipBox, GetClipRgn, GetCurrentPositionEx, GetDCOrgEx, GetDIBColorTable, GetDIBits, GetDeviceCaps, GetEnhMetaFileBits, GetEnhMetaFileHeader, GetEnhMetaFilePaletteEntries, GetMapMode, GetObjectA, GetPaletteEntries, GetPixel, GetRegionData, GetRgnBox, GetStockObject, GetSystemPaletteEntries, GetTextAlign, GetTextExtentPoint32A, GetTextExtentPointA, GetTextMetricsA, GetViewportOrgEx, GetWinMetaFileBits, GetWindowOrgEx, IntersectClipRect, LineTo, MaskBlt, MoveToEx, OffsetRgn, PatBlt, Pie, PlayEnhMetaFile, Polygon, Polyline, PtInRegion, RealizePalette, RectVisible, Rectangle, RestoreDC, RoundRect, SaveDC, SelectClipRgn, SelectObject, SelectPalette, SetAbortProc, SetBkColor, SetBkMode, SetBrushOrgEx, SetDIBColorTable, SetDIBits, SetDIBitsToDevice, SetEnhMetaFileBits, SetMapMode, SetPixel, SetROP2, SetStretchBltMode, SetTextAlign, SetTextColor, SetViewportOrgEx, SetWinMetaFileBits, SetWindowOrgEx, StartDocA, StartPage, StretchBlt, StretchDIBits, TextOutA, UnrealizeObject
> SHELL32.DLL: SHFileOperationA, ShellExecuteA, ShellExecuteExA, Shell_NotifyIconA
> USER32.DLL: ActivateKeyboardLayout, AdjustWindowRectEx, AttachThreadInput, BeginPaint, BroadcastSystemMessageA, CallNextHookEx, CallWindowProcA, CharLowerA, CharLowerBuffA, CharNextA, CharUpperA, CharUpperBuffA, CheckMenuItem, ChildWindowFromPoint, ClientToScreen, CloseClipboard, CopyImage, CreateIcon, CreateMenu, CreatePopupMenu, CreateWindowExA, DefFrameProcA, DefMDIChildProcA, DefWindowProcA, DeleteMenu, DestroyCursor, DestroyIcon, DestroyMenu, DestroyWindow, DispatchMessageA, DrawEdge, DrawFocusRect, DrawFrameControl, DrawIcon, DrawIconEx, DrawMenuBar, DrawTextA, EmptyClipboard, EnableMenuItem, EnableScrollBar, EnableWindow, EndPaint, EnumClipboardFormats, EnumThreadWindows, EnumWindows, EqualRect, FillRect, FindWindowA, FrameRect, GetActiveWindow, GetCapture, GetCaretPos, GetClassInfoA, GetClassNameA, GetClientRect, GetClipboardData, GetCursor, GetCursorPos, GetDC, GetDCEx, GetDesktopWindow, GetFocus, GetForegroundWindow, GetIconInfo, GetKeyNameTextA, GetKeyState, GetKeyboardLayout, GetKeyboardLayoutList, GetKeyboardState, GetKeyboardType, GetLastActivePopup, GetMenu, GetMenuItemCount, GetMenuItemID, GetMenuItemInfoA, GetMenuState, GetMenuStringA, GetMessageA, GetMessagePos, GetParent, GetPropA, GetScrollInfo, GetScrollPos, GetScrollRange, GetSubMenu, GetSysColorBrush, GetSystemMenu, GetSystemMetrics, GetTabbedTextExtentA, GetTopWindow, GetUpdateRect, GetWindow, GetWindowDC, GetWindowLongA, GetWindowPlacement, GetWindowRect, GetWindowRgn, GetWindowTextA, GetWindowThreadProcessId, HideCaret, InflateRect, InsertMenuA, InsertMenuItemA, IntersectRect, InvalidateRect, IsCharAlphaA, IsCharAlphaNumericA, IsChild, IsClipboardFormatAvailable, IsDialogMessageA, IsIconic, IsRectEmpty, IsWindow, IsWindowEnabled, IsWindowVisible, IsZoomed, KillTimer, LoadBitmapA, LoadCursorA, LoadIconA, LoadKeyboardLayoutA, LoadStringA, MapVirtualKeyA, MapWindowPoints, MessageBeep, MessageBoxA, MsgWaitForMultipleObjects, NotifyWinEvent, OemToCharA, OffsetRect, OpenClipboard, PeekMessageA, PostMessageA, PostQuitMessage, PtInRect, RedrawWindow, RegisterClassA, RegisterClipboardFormatA, RegisterDeviceNotificationA, RegisterWindowMessageA, ReleaseCapture, ReleaseDC, RemoveMenu, RemovePropA, ScreenToClient, ScrollWindow, SendMessageA, SetActiveWindow, SetCapture, SetClassLongA, SetClipboardData, SetCursor, SetCursorPos, SetFocus, SetForegroundWindow, SetKeyboardState, SetMenu, SetMenuItemInfoA, SetPropA, SetRect, SetScrollInfo, SetScrollPos, SetScrollRange, SetTimer, SetWindowLongA, SetWindowPlacement, SetWindowPos, SetWindowRgn, SetWindowTextA, SetWindowsHookExA, ShowCursor, ShowOwnedPopups, ShowScrollBar, ShowWindow, SubtractRect, SystemParametersInfoA, TabbedTextOutA, TrackPopupMenu, TranslateMDISysAccel, TranslateMessage, UnhookWindowsHookEx, UnregisterClassA, UnregisterDeviceNotification, UpdateWindow, WaitMessage, WinHelpA, WindowFromPoint, wsprintfA, GetSysColor
> WINMM.DLL: mixerClose, mixerGetControlDetailsA, mixerGetDevCapsA, mixerGetID, mixerGetLineControlsA, mixerGetLineInfoA, mixerGetNumDevs, mixerOpen, mixerSetControlDetails, mmioAdvance, mmioAscend, mmioClose, mmioCreateChunk, mmioDescend, mmioGetInfo, mmioOpenA, mmioRead, mmioSeek, mmioSetInfo, mmioWrite, sndPlaySoundA, timeBeginPeriod, timeEndPeriod, timeGetTime, waveInGetDevCapsA, waveInGetNumDevs, waveInMessage, waveOutGetDevCapsA, waveOutGetNumDevs, waveOutMessage
> OLE32.DLL: CoCreateInstance, CoInitialize, CoTaskMemFree, CoUninitialize, StringFromCLSID
> OLEAUT32.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 6125 exports )
[...]
         
Da habe ich den Log mal abgekürzt, weil es so viele Zeichen waren, dass ich 7 oder 8 Beiträge dafür hätte schreiben müssen. Ich hätte die log-Datei gerne als txt-Datei hochgeladen, aber sie war mit über 300 kb deutlich zu groß (vorgesehen sind 19,5 kb).

Alt 07.04.2009, 04:52   #7
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Dann habe ich noch Advanced SystemCare ausgeführt und vorher, wie empfohlen, einen Systemwiederherstellungspunkt erstellt, nachdem ich vorher die Systemwiederherstellung deaktiviert hatte, um alle alten Systemwiederherstellungspunkte zu löschen.

Und jetzt weiss ich nicht, was ich noch machen soll.

Was mich noch irritiert: Das Desktophintergrundbild war auf einmal weg, aber da hatte ich gerade den Bildschirmschoner der Norman Security Suite ausgestellt, um die Scan-Programme nicht zu unterbrechen.

Aber seitdem ich das Bild wieder eingestellt habe (zumindest kommt es mir so vor, dass so ein Zusammenhang bestehen könnte), wird zum einen die Beschriftung der Desktopsymbole nicht mehr farblich mit einem rechteckigen Rand unterlegt, sondern stattdessen haben die Buchstaben einen deutlichen schwarzen Schatten.

Und, was ich fast noch merkwürdiger finde:
Einige Programme, darunter mein Notepad, sehen auf einmal verändert aus. Die Auswahlmöglichkeiten >Datei< >Bearbeiten< >Format< >Ansicht< und >?< sind auf einmal mit einem weißen Rechteck hinterlegt, was auffällt, da der Rest ja hellgrau ist.

Ich wäre Euch wirklich sehr dankbar, wenn Ihr meine Logfiles kommentieren könnten und mir Hinweise geben könntet, was ich noch alles versuchen könnte, um wieder alles sauber zu haben.
Danke!

Alt 07.04.2009, 15:05   #8
Chris4You
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Hi,

das sieht ja alles recht chaotisch aus, nicht einfach wild aus allen möglichen Threads irgendwelche Scripts/Lösungen ausprobieren... das richtet mehr Schaden an als das es nützt...Grrr

Es wurden Sachen auf Laufwerk E gefunden, daher alles was seid der Infektion an den Rechner angeschlossen war (USB-Geräte mit Speicher, z.B. Festplatten, MP3-Player, Kameras, Sticks, ...) mit gedrückter Shift-Taste wieder anschließen.

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Dr. Web und Rsit:
Dannach im abgesicherten Modus noch Drweb CureIT reinigen lassen:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!


RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 07.04.2009, 19:54   #9
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Hi Chris,

erst einmal vielen Dank, dass Du mir hilfst!

Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,
das sieht ja alles recht chaotisch aus, nicht einfach wild aus allen möglichen Threads irgendwelche Scripts/Lösungen ausprobieren... das richtet mehr Schaden an als das es nützt...Grrr
Hm, das wollte ich natürlich nicht, Asche auf mein Haupt. Ich weiss auch nicht, ob es an meiner vielleicht nicht immer sortierten Erklärung liegt. Aber nachdem der einfache Weg (einfach mit Shift+Entf löschen und mit autoruneater sowie mbam bereits vollständig Erfolg haben) doch nicht ging, habe ich mich im wesentlichen an den einen Thread gehalten, den ich oben angegeben habe, bilde ich mir ein. Ich dachte mir, dass mir ohnehin vorgeschlagen wird, ausser hjt auch den ccleaner, mbam und den avenger zu starten, so dass ich das schon mal machen wollte. :/

Zitat:
Zitat von Chris4You Beitrag anzeigen
Es wurden Sachen auf Laufwerk E gefunden, daher alles was seid der Infektion an den Rechner angeschlossen war (USB-Geräte mit Speicher, z.B. Festplatten, MP3-Player, Kameras, Sticks, ...) mit gedrückter Shift-Taste wieder anschließen.
Ok, wird gemacht!

Zitat:
Zitat von Chris4You Beitrag anzeigen
Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe
Auf der Anleitungspage steht, wie ich die Wiederherstellungskonsole installieren kann, auf der Microsoft HP gibt allerdings nur Links für Win XP bzw. XP Pro SP 1 + 2, ich hab aber SP 3. In meinem Startbildschirm ist die Wiederherstellungskonsole auch schon installiert (also sie wird beim Starten angezeigt, aber ich weiss natürlich nicht, ob man da irgendwas aktualisieren muss o.ä.), meine ich, dann kann ich den Schritt überspringen, oder?

Zitat:
Zitat von Chris4You Beitrag anzeigen
Dr. Web und Rsit:
Dannach im abgesicherten Modus noch Drweb CureIT reinigen lassen:
Dr.Web CureIt! findet und beseitigt
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (Antiviren- und Content-Security-Software | Securing Your Web World - Trend Micro Deutschland) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris
Ich habe mir alle Programm heruntergeladen und führe die Schritte gleich nacheinander aus. Ich würde nur gerne wegen der Wiederherstellungskonsole (da startet man doch im Prinzip in einer Art Dos-Modus, oder?) sichergehen, nicht dass ich schon wieder übereifrig etwas mache.

Noch einmal Danke für Deine Hilfe!
me.

Alt 07.04.2009, 20:03   #10
Chris4You
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Hi,

den Schritt mit der Wiederherstellungskonsole kannst Du überspringen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 08.04.2009, 14:12   #11
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



So, weiter gehts.

Combofix

Code:
ATTFilter
ComboFix 09-04-04.01 - *** 2009-04-07 21:12:32.1 - FAT32x86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1014.549 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\gaopdxrxpssjgoyoulvviovmaqivuufymdcxen.dll
d:\recycler\S-8-0-42-100030408-100022070-100017761-1921.com
e:\recycler\S-8-0-42-100030408-100022070-100017761-1921.com
f:\recycler\S-8-0-42-100030408-100022070-100017761-1921.com

.
(((((((((((((((((((((((   Dateien erstellt von 2009-03-07 bis 2009-04-07  ))))))))))))))))))))))))))))))
.

2009-04-06 21:50 . 2009-04-06 21:50	6,144	--ahs----	c:\windows\Thumbs.db
2009-04-05 17:09 . 2009-04-05 17:09	<DIR>	d--------	c:\programme\Advanced SystemCare 3
2009-04-05 17:09 . 2009-04-05 17:09	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\IObit
2009-04-05 16:01 . 2009-04-05 16:01	<DIR>	d--------	c:\programme\SUPERAntiSpyware
2009-04-05 16:01 . 2009-04-05 16:01	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-05 16:01 . 2009-04-05 16:01	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-05 14:15 . 2009-04-05 14:15	<DIR>	d--hs----	C:\FOUND.014
2009-04-05 09:00 . 2009-04-05 09:00	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-04-05 09:00 . 2009-04-06 15:32	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-05 09:00 . 2009-04-06 15:32	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-04-05 07:38 . 2009-04-05 07:38	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-04-05 01:06 . 2009-04-05 01:06	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-05 01:02 . 2009-04-05 01:02	<DIR>	d--------	c:\programme\Autorun Eater
2009-04-03 02:33 . 2009-04-04 03:19	52	--a------	c:\windows\RTFContentCtrl.INI
2009-04-03 02:20 . 2009-04-03 02:20	<DIR>	d--------	c:\programme\Chandler1.0.2
2009-04-03 02:20 . 2009-04-03 02:20	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Python-Eggs
2009-04-03 02:20 . 2009-04-03 02:21	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Open Source Applications Foundation
2009-04-03 02:07 . 2009-04-03 02:07	<DIR>	d--------	c:\programme\EssentialPIM
2009-04-03 02:07 . 2009-04-03 02:07	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\EssentialPIM
2009-04-03 01:57 . 2009-04-03 01:57	<DIR>	d--------	c:\programme\TaskCoach
2009-04-03 01:57 . 2009-04-03 01:57	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\TaskCoach
2009-04-03 01:48 . 2009-04-03 01:48	<DIR>	d--------	c:\programme\Mozilla Sunbird
2009-04-03 01:48 . 2009-04-03 01:48	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Talkback
2009-04-03 01:37 . 2009-04-03 01:37	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\InstallShield Installation Information
2009-04-03 01:35 . 2009-04-03 01:35	<DIR>	d--------	c:\programme\Evernote
2009-04-02 01:30 . 2009-04-02 01:30	<DIR>	d--------	c:\programme\Rainlendar2
2009-03-29 15:55 . 2009-03-29 15:55	<DIR>	d--------	c:\programme\PhonerLite
2009-03-26 20:47 . 2009-03-26 20:47	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\SparVoip
2009-03-26 20:46 . 2009-03-26 20:46	<DIR>	d--------	c:\programme\SparVoip
2009-03-26 00:14 . 2009-03-26 00:14	<DIR>	d--------	c:\programme\FontCreator
2009-03-26 00:14 . 2009-03-26 00:14	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\FontCreator
2009-03-25 23:54 . 1996-11-06 13:05	302,592	--a------	c:\windows\unin0407.exe
2009-03-25 23:36 . 2009-03-25 23:36	<DIR>	d--------	c:\programme\EasyClean
2009-03-25 23:15 . 2009-03-25 23:15	<DIR>	d--------	c:\programme\DateWizard
2009-03-25 23:15 . 2009-03-25 23:15	31	--a------	c:\windows\DateWiz.ini
2009-03-25 17:26 . 2009-03-25 17:26	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-03-25 17:25 . 2009-03-25 17:25	<DIR>	dr-------	c:\programme\Skype
2009-03-25 17:25 . 2009-03-25 17:25	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-20 13:16 . 2007-07-11 11:05	101,120	--a------	c:\windows\system32\drivers\ewusbmdm.sys
2009-03-20 13:16 . 2007-07-11 11:02	24,448	--a------	c:\windows\system32\drivers\ewdcsc.sys
2009-03-20 13:15 . 2009-03-20 13:15	<DIR>	d--------	c:\programme\Mobile Connect

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-05 13:56	176	----a-w	c:\programme\tlrg.txt
2009-03-06 00:52	---------	d-----w	c:\programme\ElcomSoft
2009-03-01 08:42	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\FileMaker
2009-02-27 12:19	---------	d-----w	c:\programme\FormsForWebFiller3.0
2009-02-09 13:04	1,846,912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 13:04	1,846,912	------w	c:\windows\system32\dllcache\win32k.sys
2009-01-16 19:01	3,594,752	------w	c:\windows\system32\dllcache\mshtml.dll
2008-12-05 07:51	46,720	----a-w	c:\programme\mozilla firefox\components\spellchk.dll
2008-12-05 07:51	172,144	----a-w	c:\programme\mozilla firefox\components\xpinstal.dll
2008-12-05 07:51	67,696	----a-w	c:\programme\mozilla firefox\components\jar50.dll
2008-12-05 07:51	54,376	----a-w	c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-05 07:51	34,952	----a-w	c:\programme\mozilla firefox\components\myspell.dll
2008-06-09 21:10	32,768	--sha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060220080609\index.dat
2008-06-09 21:10	32,768	--sha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060920080610\index.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2008-08-24 4067328]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]
"Advanced SystemCare 3"="c:\programme\Advanced SystemCare 3\AWC.exe" [2009-02-22 2272592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2008-03-04 360448]
"TFncKy"="c:\programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe" [2007-12-18 475136]
"NDSTray.exe"="c:\programme\TOSHIBA\ConfigFree\NDSTray.exe" [2006-03-16 974848]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-17 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-17 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-17 131072]
"ACU"="c:\programme\Atheros\ACU.exe" [2008-01-26 450648]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]
"Norman ZANDA"="c:\programme\Norman\Npm\Bin\ZLH.EXE" [2009-02-11 187504]
"NPCTray"="c:\programme\Norman\npc\bin\npc_tray.exe" [2007-09-17 126008]
"TPSMain"="TPSMain.exe" [2007-10-15 c:\windows\system32\TPSMain.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 12:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
-ra------ 2007-03-01 10:37 2321600 c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WordPerfect Office 1215]
--a------ 2004-04-20 16:04 733184 c:\programme\WordPerfect Office 12\Programs\Registration.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2008-01-29 16:47 16859648 c:\windows\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"c:\\Programme\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Programme\\SparVoip\\SparVoip.exe"=
"c:\\Programme\\PhonerLite\\PhonerLite.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"****:TCP"= ****:TCP:@xpsp2res.dll,-22009
"****:TCP"= ****:TCP:sipgate.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944]
R2 Ndiskio;Ndiskio;c:\programme\Norman\Nse\Bin\Ndiskio.sys [2008-07-19 20448]
R2 NProtectService;Norton Unerase Protection;c:\programme\Norton Utilities\NPROTECT.EXE [2008-06-11 135168]
R2 NVOY;Norman Resource Provider;c:\programme\Norman\Npm\Bin\nvoy.exe [2008-07-19 126008]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [2008-06-06 5888]
R3 NPC;Norman Parental Control;c:\programme\Norman\Npc\Bin\npcsvc32.exe [2008-07-19 416880]
R3 nsesvc;Norman Scanner Engine Service;c:\programme\Norman\Nse\Bin\Nsesvc.exe [2009-01-28 183352]
R3 NUAA;Norman User Activity Agent;c:\programme\Norman\Npc\Bin\nuaa.exe [2008-07-19 117816]
R3 NvcMFlt;NvcMFlt;c:\windows\system32\drivers\nvcw32mf.sys [2008-07-19 19512]
R3 nvcoas;Norman Virus Control on-access component;c:\programme\Norman\nvc\bin\Nvcoas.exe [2009-02-19 195640]
R3 NVCScheduler;Norman Virus Control Scheduler;c:\programme\Norman\Npm\Bin\nvcsched.exe [2008-07-19 154680]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54 MBit/s USB 2.0 Netzwerkadapter;c:\windows\system32\drivers\RTL8187B.sys [2008-06-06 288000]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-06-06 57408]
S0 gotylcso;gotylcso;c:\windows\system32\drivers\xilnfz.sys --> c:\windows\system32\drivers\xilnfz.sys [?]
S0 pfpc;pfpc;c:\windows\system32\drivers\edfvpvh.sys --> c:\windows\system32\drivers\edfvpvh.sys [?]
S0 vvkaf;vvkaf;c:\windows\system32\drivers\sjdvt.sys --> c:\windows\system32\drivers\sjdvt.sys [?]
S0 yxrgkte;yxrgkte;c:\windows\system32\drivers\jsgac.sys --> c:\windows\system32\drivers\jsgac.sys [?]
S1 NGS;Norman General Security Driver;c:\programme\Norman\Ngs\Bin\ngs.sys [2009-02-28 22712]
S3 A_ALL1683;ALL1683;c:\windows\system32\drivers\ALL1683.sys [2002-10-24 14342]
S3 HppeIl;HppeIl;c:\windows\system32\HppeIl.sys [2008-06-07 7699]
S3 npcpLoad;netPCphone;c:\windows\system32\drivers\npcpLoad.Sys [2008-07-13 19528]
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\PLCNDIS5.SYS [2002-10-24 17018]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{655c3b00-154a-11de-b400-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{655c3b01-154a-11de-b400-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67554-1548-11de-b3ff-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67555-1548-11de-b3ff-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67556-1548-11de-b3ff-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aed67557-1548-11de-b3ff-001644bb43e6}]
\Shell\AutoRun\command - H:\AutoRun.exe
.
Inhalt des "geplante Tasks" Ordners

2009-04-07 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
LSP: c:\programme\Norman\npc\bin\nlf.dll
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\695c2xrb.default\
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 21:14:33
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1028)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-04-07 21:15:55
ComboFix-quarantined-files.txt  2009-04-07 19:15:54

Vor Suchlauf: 1.764.548.608 Bytes frei
Nach Suchlauf: 1,723,342,848 Bytes frei

210	--- E O F ---	2009-03-26 19:52:25
         

Alt 08.04.2009, 14:20   #12
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Dr. Web

Teil 1

Code:
ATTFilter
=============================================================================
Dr.Web Scanner für Windows v5.00.3 (5.00.3.03240)
© Igor Daniloff, 1992-2009. Alle Rechte vorbehalten.
Log erstellt am: 2009-04-07, 21:27:15 [***][***]
Kommandozeile: "D:\Tmp\RarSFX0\setup.exe" /lng:de-cureit.dwl /ini:setup_XP.ini
Betriebssystem: Windows XP Professional x86 (Build 2600), Service Pack 3
=============================================================================
Engine-Version: 5.00 (5.00.0.12182)
API-Version: 2.02
[Virendatenbank] D:\Tmp\RarSFX0\9f51aa1f - 948 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\fef26ac2 - 3254 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\6db86338 - 5241 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\a9461f8f - 7585 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\5315ad58 - 5310 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\48641057 - 5947 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\3ee4de79 - 6039 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\a445397c - 5309 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\dcb480a7 - 3511 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\3ab9c8fb - 2495 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\cabaea62 - 4565 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\9ee92eed - 4467 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b87cfa26 - 5196 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\2404fa96 - 2359 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\e3617afc - 1938 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\02c69d0d - 3335 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b7002b25 - 3185 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b7c05f78 - 1468 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\0bf9b63a - 280 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\1da9b457 - 567 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b2c5ba1a - 1194 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\3f075665 - 423328 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\02930797 - 286 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\b8e536ce - 626 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\fa279c62 - 178 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\1a394acb - 925 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\ce3c91d2 - 840 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\56f685e8 - 3316 Virensignaturen
[Virendatenbank] D:\Tmp\RarSFX0\8e4c94e3 - 19303 Virensignaturen
Gesamtzahl der Virensignaturen: 522995
[Selbstüberprüfung] D:\Tmp\RarSFX0\setup.exe
Lizenzschlüsseldatei: D:\Tmp\RarSFX0\setup.key
Lizenzchlüsselnummer: 0010537607
Registriert für:: A User
Aktivierungsdatum des Lizenzschlüssels:: 2008-12-05
Ablaufdatum des Lizenzschlüssels:: 2009-06-07
Speichervorgang: System:4 - OK
Speichervorgang: \SystemRoot\System32\smss.exe:176 - OK
Speichervorgang: \??\C:\WINDOWS\system32\csrss.exe:232 - OK
Speichervorgang: \??\C:\WINDOWS\system32\winlogon.exe:256 - OK
Speichervorgang: C:\WINDOWS\system32\services.exe:300 - OK
Speichervorgang: C:\WINDOWS\system32\lsass.exe:312 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:460 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:520 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:584 - OK
Speichervorgang: C:\WINDOWS\Explorer.EXE:828 - OK
Speichervorgang: E:\download\launch.exe:996 - OK
Speichervorgang: D:\Tmp\RarSFX0\_start.exe:1048 - OK
Speichervorgang: D:\Tmp\RarSFX0\setup.exe:1064 - OK
[Speicherscannen] Keine Viren gefunden
Master Boot Record HDD1 - OK
Active Boot Sector HDD1 - OK

[Scanpfad] c:\dokumente und einstellungen\administrator\startmenü\programme\autostart\desktop.ini
c:\dokumente und einstellungen\administrator\startmenü\programme\autostart\desktop.ini - OK

[Scanpfad] c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini
c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini - OK

[Scanpfad] c:\dokumente und einstellungen\default user\startmenü\programme\autostart\desktop.ini
c:\dokumente und einstellungen\default user\startmenü\programme\autostart\desktop.ini - OK

[Scanpfad] c:\dokumente und einstellungen\***\startmenü\programme\autostart\desktop.ini
c:\dokumente und einstellungen\***\startmenü\programme\autostart\desktop.ini - OK

[Scanpfad] c:\programme\advanced systemcare 3\awc.exe
c:\programme\advanced systemcare 3\awc.exe gepackt von ZLIB
>c:\programme\advanced systemcare 3\awc.exe - Archiv BINARYRES
>>c:\programme\advanced systemcare 3\awc.exe/data001 - OK
>>c:\programme\advanced systemcare 3\awc.exe/data002 - OK
>c:\programme\advanced systemcare 3\awc.exe - OK

[Scanpfad] c:\programme\atheros\acu.exe
c:\programme\atheros\acu.exe - OK

[Scanpfad] c:\programme\clickie\clickie.dll
c:\programme\clickie\clickie.dll - OK

[Scanpfad] c:\programme\fontcreator\fontcreatorext.dll
c:\programme\fontcreator\fontcreatorext.dll gepackt von PESTUB
>c:\programme\fontcreator\fontcreatorext.dll gepackt von ZLIB
>>c:\programme\fontcreator\fontcreatorext.dll - Archiv BINARYRES
>>>c:\programme\fontcreator\fontcreatorext.dll/data001 - OK
>>c:\programme\fontcreator\fontcreatorext.dll - OK

[Scanpfad] c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe
c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe - OK

[Scanpfad] c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelper.dll
c:\programme\gemeinsame dateien\adobe\acrobat\activex\acroiehelper.dll - OK

[Scanpfad] c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.deu
c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.deu - OK

[Scanpfad] c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll
c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll - OK

[Scanpfad] c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma.cpl
c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma.cpl - OK

[Scanpfad] c:\programme\gemeinsame dateien\microsoft shared\dw\dwtrig20.exe
c:\programme\gemeinsame dateien\microsoft shared\dw\dwtrig20.exe - OK

[Scanpfad] c:\programme\gemeinsame dateien\microsoft shared\speech\sapi.cpl
c:\programme\gemeinsame dateien\microsoft shared\speech\sapi.cpl - OK

[Scanpfad] c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll
c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll - OK

[Scanpfad] c:\programme\gemeinsame dateien\system\ole db\oledb32.dll
c:\programme\gemeinsame dateien\system\ole db\oledb32.dll - OK

[Scanpfad] c:\programme\lavasoft\ad-aware 2007\aawservice.exe
c:\programme\lavasoft\ad-aware 2007\aawservice.exe - OK

[Scanpfad] c:\programme\messenger\msmsgs.exe
c:\programme\messenger\msmsgs.exe - OK

[Scanpfad] c:\programme\microsoft office\office\olkfstub.dll
c:\programme\microsoft office\office\olkfstub.dll - OK

[Scanpfad] c:\programme\norman\ngs\bin\ngs.sys
c:\programme\norman\ngs\bin\ngs.sys - OK

[Scanpfad] c:\programme\norman\npc\bin\nlf.dll
c:\programme\norman\npc\bin\nlf.dll - OK

[Scanpfad] c:\programme\norman\npc\bin\npc_tray.exe
c:\programme\norman\npc\bin\npc_tray.exe - OK

[Scanpfad] c:\programme\norman\npc\bin\npcsvc32.exe
c:\programme\norman\npc\bin\npcsvc32.exe - OK

[Scanpfad] c:\programme\norman\npc\bin\nuaa.exe
c:\programme\norman\npc\bin\nuaa.exe - OK

[Scanpfad] c:\programme\norman\npm\bin\elogsvc.exe
c:\programme\norman\npm\bin\elogsvc.exe - OK

[Scanpfad] c:\programme\norman\npm\bin\njeeves.exe
c:\programme\norman\npm\bin\njeeves.exe - OK

[Scanpfad] c:\programme\norman\npm\bin\nvcsched.exe
c:\programme\norman\npm\bin\nvcsched.exe - OK

[Scanpfad] c:\programme\norman\npm\bin\nvoy.exe
c:\programme\norman\npm\bin\nvoy.exe - OK

[Scanpfad] c:\programme\norman\npm\bin\zanda.exe
c:\programme\norman\npm\bin\zanda.exe wahrscheinlich infiziert mit BACKDOOR.Trojan

[Scanpfad] c:\programme\norman\npm\bin\zlh.exe
c:\programme\norman\npm\bin\zlh.exe - OK

[Scanpfad] c:\programme\norman\nse\bin\ndiskio.sys
c:\programme\norman\nse\bin\ndiskio.sys - OK

[Scanpfad] c:\programme\norman\nse\bin\nsesvc.exe
c:\programme\norman\nse\bin\nsesvc.exe - OK

[Scanpfad] c:\programme\norman\nvc\bin\nvcoas.exe
c:\programme\norman\nvc\bin\nvcoas.exe - OK

[Scanpfad] c:\programme\norton utilities\nprotect.exe
c:\programme\norton utilities\nprotect.exe - OK

[Scanpfad] c:\programme\outlook express\setup50.exe
c:\programme\outlook express\setup50.exe - OK

[Scanpfad] c:\programme\outlook express\wabfind.dll
c:\programme\outlook express\wabfind.dll - OK

[Scanpfad] c:\programme\rainlendar2\rainlendar2.exe
c:\programme\rainlendar2\rainlendar2.exe - OK

[Scanpfad] c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll - OK

[Scanpfad] c:\programme\speed disk\nopdb.exe
c:\programme\speed disk\nopdb.exe - OK

[Scanpfad] c:\programme\superantispyware\sasdifsv.sys
c:\programme\superantispyware\sasdifsv.sys - OK

[Scanpfad] c:\programme\superantispyware\sasenum.sys
c:\programme\superantispyware\sasenum.sys - OK

[Scanpfad] c:\programme\superantispyware\saskutil.sys
c:\programme\superantispyware\saskutil.sys - OK

[Scanpfad] c:\programme\superantispyware\sasseh.dll
c:\programme\superantispyware\sasseh.dll - OK

[Scanpfad] c:\programme\superantispyware\saswinlo.dll
c:\programme\superantispyware\saswinlo.dll - OK

[Scanpfad] c:\programme\superantispyware\superantispyware.exe
c:\programme\superantispyware\superantispyware.exe - OK

[Scanpfad] c:\programme\symantec\symevent.sys
c:\programme\symantec\symevent.sys - OK

[Scanpfad] c:\programme\synaptics\syntp\syntpcpl.dll
c:\programme\synaptics\syntp\syntpcpl.dll - OK

[Scanpfad] c:\programme\synaptics\syntp\syntpenh.exe
c:\programme\synaptics\syntp\syntpenh.exe - OK

[Scanpfad] c:\programme\toshiba\configfree\cfsvcs.exe
c:\programme\toshiba\configfree\cfsvcs.exe - OK

[Scanpfad] c:\programme\toshiba\configfree\ndstray.exe
c:\programme\toshiba\configfree\ndstray.exe - OK

[Scanpfad] c:\programme\toshiba\toshiba applet\tappsrv.exe
c:\programme\toshiba\toshiba applet\tappsrv.exe - OK

[Scanpfad] c:\programme\toshiba\toshiba applet\thotkey.exe
c:\programme\toshiba\toshiba applet\thotkey.exe - OK

[Scanpfad] c:\programme\toshiba\toshiba controls\tfncky.exe
c:\programme\toshiba\toshiba controls\tfncky.exe - OK

[Scanpfad] c:\programme\toshiba\toshiba controls\toshsrv.cpl
c:\programme\toshiba\toshiba controls\toshsrv.cpl - OK

[Scanpfad] c:\programme\windows defender\mpcmdrun.exe
c:\programme\windows defender\mpcmdrun.exe - OK

[Scanpfad] c:\programme\windows defender\mpshhook.dll
c:\programme\windows defender\mpshhook.dll - OK

[Scanpfad] c:\programme\windows defender\msmpeng.exe
c:\programme\windows defender\msmpeng.exe - OK

[Scanpfad] c:\programme\windows media player\wmpnetwk.exe
c:\programme\windows media player\wmpnetwk.exe - OK

[Scanpfad] c:\programme\winrar\rarext.dll
c:\programme\winrar\rarext.dll - OK

[Scanpfad] c:\windows\apppatch\acadproc.dll
c:\windows\apppatch\acadproc.dll - OK

[Scanpfad] c:\windows\apppatch\acgenral.dll
c:\windows\apppatch\acgenral.dll - OK

[Scanpfad] c:\windows\downloaded program files\ipsuploader4.ocx
c:\windows\downloaded program files\ipsuploader4.ocx - OK

[Scanpfad] c:\windows\explorer.exe
c:\windows\explorer.exe - OK

[Scanpfad] c:\windows\inf\msmsgs.inf
c:\windows\inf\msmsgs.inf - OK

[Scanpfad] c:\windows\inf\msnetmtg.inf
c:\windows\inf\msnetmtg.inf - OK

[Scanpfad] c:\windows\inf\unregmp2.exe
c:\windows\inf\unregmp2.exe - OK

[Scanpfad] c:\windows\inf\wmp11.inf
c:\windows\inf\wmp11.inf - OK

[Scanpfad] c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe - OK

[Scanpfad] c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe - OK

[Scanpfad] c:\windows\msagent\agentpsh.dll
c:\windows\msagent\agentpsh.dll - OK

[Scanpfad] c:\windows\network diagnostic\xpnetdiag.exe
c:\windows\network diagnostic\xpnetdiag.exe - OK

[Scanpfad] c:\windows\pchealth\helpctr\binaries\pchsvc.dll
c:\windows\pchealth\helpctr\binaries\pchsvc.dll - OK

[Scanpfad] c:\windows\system32\acs.exe
c:\windows\system32\acs.exe - OK

[Scanpfad] c:\windows\system32\advapi32.dll
c:\windows\system32\advapi32.dll - OK

[Scanpfad] c:\windows\system32\advpack.dll
c:\windows\system32\advpack.dll - OK

[Scanpfad] c:\windows\system32\alg.exe
c:\windows\system32\alg.exe - OK

[Scanpfad] c:\windows\system32\alrsvc.dll
c:\windows\system32\alrsvc.dll - OK

[Scanpfad] c:\windows\system32\apphelp.dll
c:\windows\system32\apphelp.dll - OK

[Scanpfad] c:\windows\system32\appmgmts.dll
c:\windows\system32\appmgmts.dll - OK

[Scanpfad] c:\windows\system32\appwiz.cpl
c:\windows\system32\appwiz.cpl - OK

[Scanpfad] c:\windows\system32\atl.dll
c:\windows\system32\atl.dll - OK

[Scanpfad] c:\windows\system32\audiodev.dll
c:\windows\system32\audiodev.dll gepackt von PESTUB
>c:\windows\system32\audiodev.dll - OK

[Scanpfad] c:\windows\system32\audiosrv.dll
c:\windows\system32\audiosrv.dll - OK

[Scanpfad] c:\windows\system32\authz.dll
c:\windows\system32\authz.dll - OK

[Scanpfad] c:\windows\system32\autochk.exe
c:\windows\system32\autochk.exe - OK

[Scanpfad] c:\windows\system32\basesrv.dll
c:\windows\system32\basesrv.dll - OK

[Scanpfad] c:\windows\system32\browselc.dll
c:\windows\system32\browselc.dll gepackt von ZLIB
>c:\windows\system32\browselc.dll - Archiv BINARYRES
>>c:\windows\system32\browselc.dll/data001 - OK
>c:\windows\system32\browselc.dll - OK

[Scanpfad] c:\windows\system32\browser.dll
c:\windows\system32\browser.dll - OK

[Scanpfad] c:\windows\system32\browseui.dll
c:\windows\system32\browseui.dll - OK

[Scanpfad] c:\windows\system32\cabview.dll
c:\windows\system32\cabview.dll - OK

[Scanpfad] c:\windows\system32\certcli.dll
c:\windows\system32\certcli.dll - OK

[Scanpfad] c:\windows\system32\cisvc.exe
c:\windows\system32\cisvc.exe - OK

[Scanpfad] c:\windows\system32\clbcatq.dll
c:\windows\system32\clbcatq.dll - OK

[Scanpfad] c:\windows\system32\clipsrv.exe
c:\windows\system32\clipsrv.exe - OK

[Scanpfad] c:\windows\system32\cnbjmon.dll
c:\windows\system32\cnbjmon.dll - OK

[Scanpfad] c:\windows\system32\comctl32.dll
c:\windows\system32\comctl32.dll - OK

[Scanpfad] c:\windows\system32\comdlg32.dll
c:\windows\system32\comdlg32.dll - OK

[Scanpfad] c:\windows\system32\comres.dll
c:\windows\system32\comres.dll - OK

[Scanpfad] c:\windows\system32\config\systemprofile\startmenü\programme\autostart\desktop.ini
c:\windows\system32\config\systemprofile\startmenü\programme\autostart\desktop.ini - OK

[Scanpfad] c:\windows\system32\credui.dll
c:\windows\system32\credui.dll - OK

[Scanpfad] c:\windows\system32\crypt32.dll
c:\windows\system32\crypt32.dll - OK

[Scanpfad] c:\windows\system32\cryptdll.dll
c:\windows\system32\cryptdll.dll - OK

[Scanpfad] c:\windows\system32\cryptext.dll
c:\windows\system32\cryptext.dll - OK

[Scanpfad] c:\windows\system32\cryptnet.dll
c:\windows\system32\cryptnet.dll - OK

[Scanpfad] c:\windows\system32\cryptsvc.dll
c:\windows\system32\cryptsvc.dll - OK

[Scanpfad] c:\windows\system32\cryptui.dll
c:\windows\system32\cryptui.dll - OK

[Scanpfad] c:\windows\system32\cscdll.dll
c:\windows\system32\cscdll.dll - OK

[Scanpfad] c:\windows\system32\cscui.dll
c:\windows\system32\cscui.dll - OK

[Scanpfad] c:\windows\system32\csrsrv.dll
c:\windows\system32\csrsrv.dll - OK

[Scanpfad] c:\windows\system32\csrss.exe
c:\windows\system32\csrss.exe - OK

[Scanpfad] c:\windows\system32\ctfmon.exe
c:\windows\system32\ctfmon.exe - OK

[Scanpfad] c:\windows\system32\davclnt.dll
c:\windows\system32\davclnt.dll - OK

[Scanpfad] c:\windows\system32\deskadp.dll
c:\windows\system32\deskadp.dll - OK

[Scanpfad] c:\windows\system32\deskmon.dll
c:\windows\system32\deskmon.dll - OK

[Scanpfad] c:\windows\system32\deskperf.dll
c:\windows\system32\deskperf.dll - OK

[Scanpfad] c:\windows\system32\dfshim.dll
c:\windows\system32\dfshim.dll - OK

[Scanpfad] c:\windows\system32\dfsshlex.dll
c:\windows\system32\dfsshlex.dll - OK

[Scanpfad] c:\windows\system32\dhcpcsvc.dll
c:\windows\system32\dhcpcsvc.dll - OK

[Scanpfad] c:\windows\system32\digest.dll
c:\windows\system32\digest.dll - OK

[Scanpfad] c:\windows\system32\dimsntfy.dll
c:\windows\system32\dimsntfy.dll - OK

[Scanpfad] c:\windows\system32\diskcopy.dll
c:\windows\system32\diskcopy.dll - OK

[Scanpfad] c:\windows\system32\dllhost.exe
c:\windows\system32\dllhost.exe - OK

[Scanpfad] c:\windows\system32\dmadmin.exe
c:\windows\system32\dmadmin.exe - OK

[Scanpfad] c:\windows\system32\dmserver.dll
c:\windows\system32\dmserver.dll - OK

[Scanpfad] c:\windows\system32\dnsapi.dll
c:\windows\system32\dnsapi.dll - OK

[Scanpfad] c:\windows\system32\dnsrslvr.dll
c:\windows\system32\dnsrslvr.dll - OK

[Scanpfad] c:\windows\system32\docprop.dll
c:\windows\system32\docprop.dll - OK

[Scanpfad] c:\windows\system32\docprop2.dll
c:\windows\system32\docprop2.dll - OK

[Scanpfad] c:\windows\system32\dot3api.dll
c:\windows\system32\dot3api.dll - OK

[Scanpfad] c:\windows\system32\dot3dlg.dll
c:\windows\system32\dot3dlg.dll - OK

[Scanpfad] c:\windows\system32\dot3gpclnt.dll
c:\windows\system32\dot3gpclnt.dll - OK

[Scanpfad] c:\windows\system32\dot3svc.dll
c:\windows\system32\dot3svc.dll - OK
         

Alt 08.04.2009, 14:22   #13
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Teil 2

Code:
ATTFilter
[Scanpfad] c:\windows\system32\drivers\acpi.sys
c:\windows\system32\drivers\acpi.sys - OK

[Scanpfad] c:\windows\system32\drivers\acpiec.sys
c:\windows\system32\drivers\acpiec.sys - OK

[Scanpfad] c:\windows\system32\drivers\aec.sys
c:\windows\system32\drivers\aec.sys - OK

[Scanpfad] c:\windows\system32\drivers\afd.sys
c:\windows\system32\drivers\afd.sys - OK

[Scanpfad] c:\windows\system32\drivers\all1683.sys
c:\windows\system32\drivers\all1683.sys - OK

[Scanpfad] c:\windows\system32\drivers\asyncmac.sys
c:\windows\system32\drivers\asyncmac.sys - OK

[Scanpfad] c:\windows\system32\drivers\atapi.sys
c:\windows\system32\drivers\atapi.sys - OK

[Scanpfad] c:\windows\system32\drivers\atmarpc.sys
c:\windows\system32\drivers\atmarpc.sys - OK

[Scanpfad] c:\windows\system32\drivers\audstub.sys
c:\windows\system32\drivers\audstub.sys - OK

[Scanpfad] c:\windows\system32\drivers\beep.sys
c:\windows\system32\drivers\beep.sys - OK

[Scanpfad] c:\windows\system32\drivers\cdaudio.sys
c:\windows\system32\drivers\cdaudio.sys - OK

[Scanpfad] c:\windows\system32\drivers\cdrom.sys
c:\windows\system32\drivers\cdrom.sys - OK

[Scanpfad] c:\windows\system32\drivers\cmbatt.sys
c:\windows\system32\drivers\cmbatt.sys - OK

[Scanpfad] c:\windows\system32\drivers\compbatt.sys
c:\windows\system32\drivers\compbatt.sys - OK

[Scanpfad] c:\windows\system32\drivers\disk.sys
c:\windows\system32\drivers\disk.sys - OK

[Scanpfad] c:\windows\system32\drivers\dmboot.sys
c:\windows\system32\drivers\dmboot.sys - OK

[Scanpfad] c:\windows\system32\drivers\dmio.sys
c:\windows\system32\drivers\dmio.sys - OK

[Scanpfad] c:\windows\system32\drivers\dmload.sys
c:\windows\system32\drivers\dmload.sys - OK

[Scanpfad] c:\windows\system32\drivers\dmusic.sys
c:\windows\system32\drivers\dmusic.sys - OK

[Scanpfad] c:\windows\system32\drivers\drmkaud.sys
c:\windows\system32\drivers\drmkaud.sys - OK

[Scanpfad] c:\windows\system32\drivers\ewusbmdm.sys
c:\windows\system32\drivers\ewusbmdm.sys - OK

[Scanpfad] c:\windows\system32\drivers\fdc.sys
c:\windows\system32\drivers\fdc.sys - OK

[Scanpfad] c:\windows\system32\drivers\fips.sys
c:\windows\system32\drivers\fips.sys - OK

[Scanpfad] c:\windows\system32\drivers\flpydisk.sys
c:\windows\system32\drivers\flpydisk.sys - OK

[Scanpfad] c:\windows\system32\drivers\fltmgr.sys
c:\windows\system32\drivers\fltmgr.sys - OK

[Scanpfad] c:\windows\system32\drivers\fs_rec.sys
c:\windows\system32\drivers\fs_rec.sys - OK

[Scanpfad] c:\windows\system32\drivers\ftdisk.sys
c:\windows\system32\drivers\ftdisk.sys - OK

[Scanpfad] c:\windows\system32\drivers\fwlnk.sys
c:\windows\system32\drivers\fwlnk.sys - OK

[Scanpfad] c:\windows\system32\drivers\hdaudbus.sys
c:\windows\system32\drivers\hdaudbus.sys - OK

[Scanpfad] c:\windows\system32\drivers\hidusb.sys
c:\windows\system32\drivers\hidusb.sys - OK

[Scanpfad] c:\windows\system32\drivers\hsf_cnxt.sys
c:\windows\system32\drivers\hsf_cnxt.sys - OK

[Scanpfad] c:\windows\system32\drivers\hsf_dpv.sys
c:\windows\system32\drivers\hsf_dpv.sys - OK

[Scanpfad] c:\windows\system32\drivers\hsfhwazl.sys
c:\windows\system32\drivers\hsfhwazl.sys - OK

[Scanpfad] c:\windows\system32\drivers\http.sys
c:\windows\system32\drivers\http.sys - OK

[Scanpfad] c:\windows\system32\drivers\i8042prt.sys
c:\windows\system32\drivers\i8042prt.sys - OK

[Scanpfad] c:\windows\system32\drivers\igxpmp32.sys
c:\windows\system32\drivers\igxpmp32.sys - OK

[Scanpfad] c:\windows\system32\drivers\imapi.sys
c:\windows\system32\drivers\imapi.sys - OK

[Scanpfad] c:\windows\system32\drivers\intelppm.sys
c:\windows\system32\drivers\intelppm.sys - OK

[Scanpfad] c:\windows\system32\drivers\ip6fw.sys
c:\windows\system32\drivers\ip6fw.sys - OK

[Scanpfad] c:\windows\system32\drivers\ipfltdrv.sys
c:\windows\system32\drivers\ipfltdrv.sys - OK

[Scanpfad] c:\windows\system32\drivers\ipinip.sys
c:\windows\system32\drivers\ipinip.sys - OK

[Scanpfad] c:\windows\system32\drivers\ipnat.sys
c:\windows\system32\drivers\ipnat.sys - OK

[Scanpfad] c:\windows\system32\drivers\ipsec.sys
c:\windows\system32\drivers\ipsec.sys - OK

[Scanpfad] c:\windows\system32\drivers\irenum.sys
c:\windows\system32\drivers\irenum.sys - OK

[Scanpfad] c:\windows\system32\drivers\isapnp.sys
c:\windows\system32\drivers\isapnp.sys - OK

[Scanpfad] c:\windows\system32\drivers\kbdclass.sys
c:\windows\system32\drivers\kbdclass.sys - OK

[Scanpfad] c:\windows\system32\drivers\kbdhid.sys
c:\windows\system32\drivers\kbdhid.sys - OK

[Scanpfad] c:\windows\system32\drivers\kmixer.sys
c:\windows\system32\drivers\kmixer.sys - OK

[Scanpfad] c:\windows\system32\drivers\ksecdd.sys
c:\windows\system32\drivers\ksecdd.sys - OK

[Scanpfad] c:\windows\system32\drivers\mdmxsdk.sys
c:\windows\system32\drivers\mdmxsdk.sys - OK

[Scanpfad] c:\windows\system32\drivers\mnmdd.sys
c:\windows\system32\drivers\mnmdd.sys - OK

[Scanpfad] c:\windows\system32\drivers\mouclass.sys
c:\windows\system32\drivers\mouclass.sys - OK

[Scanpfad] c:\windows\system32\drivers\mouhid.sys
c:\windows\system32\drivers\mouhid.sys - OK

[Scanpfad] c:\windows\system32\drivers\mountmgr.sys
c:\windows\system32\drivers\mountmgr.sys - OK

[Scanpfad] c:\windows\system32\drivers\mrxdav.sys
c:\windows\system32\drivers\mrxdav.sys - OK

[Scanpfad] c:\windows\system32\drivers\mrxsmb.sys
c:\windows\system32\drivers\mrxsmb.sys - OK

[Scanpfad] c:\windows\system32\drivers\msfs.sys
c:\windows\system32\drivers\msfs.sys - OK

[Scanpfad] c:\windows\system32\drivers\msgpc.sys
c:\windows\system32\drivers\msgpc.sys - OK

[Scanpfad] c:\windows\system32\drivers\mskssrv.sys
c:\windows\system32\drivers\mskssrv.sys - OK

[Scanpfad] c:\windows\system32\drivers\mspclock.sys
c:\windows\system32\drivers\mspclock.sys - OK

[Scanpfad] c:\windows\system32\drivers\mspqm.sys
c:\windows\system32\drivers\mspqm.sys - OK

[Scanpfad] c:\windows\system32\drivers\mssmbios.sys
c:\windows\system32\drivers\mssmbios.sys - OK

[Scanpfad] c:\windows\system32\drivers\mup.sys
c:\windows\system32\drivers\mup.sys - OK

[Scanpfad] c:\windows\system32\drivers\ndis.sys
c:\windows\system32\drivers\ndis.sys - OK

[Scanpfad] c:\windows\system32\drivers\ndistapi.sys
c:\windows\system32\drivers\ndistapi.sys - OK

[Scanpfad] c:\windows\system32\drivers\ndisuio.sys
c:\windows\system32\drivers\ndisuio.sys - OK

[Scanpfad] c:\windows\system32\drivers\ndiswan.sys
c:\windows\system32\drivers\ndiswan.sys - OK

[Scanpfad] c:\windows\system32\drivers\netbios.sys
c:\windows\system32\drivers\netbios.sys - OK

[Scanpfad] c:\windows\system32\drivers\netbt.sys
c:\windows\system32\drivers\netbt.sys - OK

[Scanpfad] c:\windows\system32\drivers\netdevio.sys
c:\windows\system32\drivers\netdevio.sys - OK

[Scanpfad] c:\windows\system32\drivers\npcpload.sys
c:\windows\system32\drivers\npcpload.sys - OK

[Scanpfad] c:\windows\system32\drivers\npdriver.sys
c:\windows\system32\drivers\npdriver.sys - OK

[Scanpfad] c:\windows\system32\drivers\npfs.sys
c:\windows\system32\drivers\npfs.sys - OK

[Scanpfad] c:\windows\system32\drivers\null.sys
c:\windows\system32\drivers\null.sys - OK

[Scanpfad] c:\windows\system32\drivers\nvcw32mf.sys
c:\windows\system32\drivers\nvcw32mf.sys - OK

[Scanpfad] c:\windows\system32\drivers\nwlnkflt.sys
c:\windows\system32\drivers\nwlnkflt.sys - OK

[Scanpfad] c:\windows\system32\drivers\nwlnkfwd.sys
c:\windows\system32\drivers\nwlnkfwd.sys - OK

[Scanpfad] c:\windows\system32\drivers\partmgr.sys
c:\windows\system32\drivers\partmgr.sys - OK

[Scanpfad] c:\windows\system32\drivers\pci.sys
c:\windows\system32\drivers\pci.sys - OK

[Scanpfad] c:\windows\system32\drivers\pciide.sys
c:\windows\system32\drivers\pciide.sys - OK

[Scanpfad] c:\windows\system32\drivers\processr.sys
c:\windows\system32\drivers\processr.sys - OK

[Scanpfad] c:\windows\system32\drivers\psched.sys
c:\windows\system32\drivers\psched.sys - OK

[Scanpfad] c:\windows\system32\drivers\ptilink.sys
c:\windows\system32\drivers\ptilink.sys - OK

[Scanpfad] c:\windows\system32\drivers\rasacd.sys
c:\windows\system32\drivers\rasacd.sys - OK

[Scanpfad] c:\windows\system32\drivers\rasl2tp.sys
c:\windows\system32\drivers\rasl2tp.sys - OK

[Scanpfad] c:\windows\system32\drivers\raspppoe.sys
c:\windows\system32\drivers\raspppoe.sys - OK

[Scanpfad] c:\windows\system32\drivers\raspptp.sys
c:\windows\system32\drivers\raspptp.sys - OK

[Scanpfad] c:\windows\system32\drivers\raspti.sys
c:\windows\system32\drivers\raspti.sys - OK

[Scanpfad] c:\windows\system32\drivers\rdbss.sys
c:\windows\system32\drivers\rdbss.sys - OK

[Scanpfad] c:\windows\system32\drivers\rdpcdd.sys
c:\windows\system32\drivers\rdpcdd.sys - OK

[Scanpfad] c:\windows\system32\drivers\rdpdr.sys
c:\windows\system32\drivers\rdpdr.sys - OK

[Scanpfad] c:\windows\system32\drivers\rdpwd.sys
c:\windows\system32\drivers\rdpwd.sys - OK

[Scanpfad] c:\windows\system32\drivers\redbook.sys
c:\windows\system32\drivers\redbook.sys - OK

[Scanpfad] c:\windows\system32\drivers\rtenicxp.sys
c:\windows\system32\drivers\rtenicxp.sys - OK

[Scanpfad] c:\windows\system32\drivers\rtkhdaud.sys
c:\windows\system32\drivers\rtkhdaud.sys - OK

[Scanpfad] c:\windows\system32\drivers\rtl8187b.sys
c:\windows\system32\drivers\rtl8187b.sys - OK

[Scanpfad] c:\windows\system32\drivers\scsiport.sys
c:\windows\system32\drivers\scsiport.sys - OK

[Scanpfad] c:\windows\system32\drivers\secdrv.sys
c:\windows\system32\drivers\secdrv.sys - OK

[Scanpfad] c:\windows\system32\drivers\sfloppy.sys
c:\windows\system32\drivers\sfloppy.sys - OK

[Scanpfad] c:\windows\system32\drivers\splitter.sys
c:\windows\system32\drivers\splitter.sys - OK

[Scanpfad] c:\windows\system32\drivers\sr.sys
c:\windows\system32\drivers\sr.sys - OK

[Scanpfad] c:\windows\system32\drivers\srv.sys
c:\windows\system32\drivers\srv.sys - OK

[Scanpfad] c:\windows\system32\drivers\swenum.sys
c:\windows\system32\drivers\swenum.sys - OK

[Scanpfad] c:\windows\system32\drivers\swmidi.sys
c:\windows\system32\drivers\swmidi.sys - OK

[Scanpfad] c:\windows\system32\drivers\syntp.sys
c:\windows\system32\drivers\syntp.sys - OK

[Scanpfad] c:\windows\system32\drivers\sysaudio.sys
c:\windows\system32\drivers\sysaudio.sys - OK

[Scanpfad] c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\drivers\tcpip.sys - OK

[Scanpfad] c:\windows\system32\drivers\tdpipe.sys
c:\windows\system32\drivers\tdpipe.sys - OK

[Scanpfad] c:\windows\system32\drivers\tdtcp.sys
c:\windows\system32\drivers\tdtcp.sys - OK

[Scanpfad] c:\windows\system32\drivers\termdd.sys
c:\windows\system32\drivers\termdd.sys - OK

[Scanpfad] c:\windows\system32\drivers\update.sys
c:\windows\system32\drivers\update.sys - OK

[Scanpfad] c:\windows\system32\drivers\usbaudio.sys
c:\windows\system32\drivers\usbaudio.sys - OK

[Scanpfad] c:\windows\system32\drivers\usbccgp.sys
c:\windows\system32\drivers\usbccgp.sys - OK

[Scanpfad] c:\windows\system32\drivers\usbehci.sys
c:\windows\system32\drivers\usbehci.sys - OK

[Scanpfad] c:\windows\system32\drivers\usbhub.sys
c:\windows\system32\drivers\usbhub.sys - OK

[Scanpfad] c:\windows\system32\drivers\usbprint.sys
c:\windows\system32\drivers\usbprint.sys - OK

[Scanpfad] c:\windows\system32\drivers\usbstor.sys
c:\windows\system32\drivers\usbstor.sys - OK

[Scanpfad] c:\windows\system32\drivers\usbuhci.sys
c:\windows\system32\drivers\usbuhci.sys - OK

[Scanpfad] c:\windows\system32\drivers\vga.sys
c:\windows\system32\drivers\vga.sys - OK

[Scanpfad] c:\windows\system32\drivers\volsnap.sys
c:\windows\system32\drivers\volsnap.sys - OK

[Scanpfad] c:\windows\system32\drivers\w800bus.sys
c:\windows\system32\drivers\w800bus.sys - OK

[Scanpfad] c:\windows\system32\drivers\w800mdfl.sys
c:\windows\system32\drivers\w800mdfl.sys - OK

[Scanpfad] c:\windows\system32\drivers\w800mdm.sys
c:\windows\system32\drivers\w800mdm.sys - OK

[Scanpfad] c:\windows\system32\drivers\w800mgmt.sys
c:\windows\system32\drivers\w800mgmt.sys - OK

[Scanpfad] c:\windows\system32\drivers\w800obex.sys
c:\windows\system32\drivers\w800obex.sys - OK

[Scanpfad] c:\windows\system32\drivers\wanarp.sys
c:\windows\system32\drivers\wanarp.sys - OK

[Scanpfad] c:\windows\system32\drivers\wdmaud.sys
c:\windows\system32\drivers\wdmaud.sys - OK

[Scanpfad] c:\windows\system32\drivers\ws2ifsl.sys
c:\windows\system32\drivers\ws2ifsl.sys - OK

[Scanpfad] c:\windows\system32\drivers\wsimd.sys
c:\windows\system32\drivers\wsimd.sys - OK

[Scanpfad] c:\windows\system32\drivers\wudfpf.sys
c:\windows\system32\drivers\wudfpf.sys - OK

[Scanpfad] c:\windows\system32\drivers\wudfrd.sys
c:\windows\system32\drivers\wudfrd.sys - OK

[Scanpfad] c:\windows\system32\drprov.dll
c:\windows\system32\drprov.dll - OK

[Scanpfad] c:\windows\system32\dskquota.dll
c:\windows\system32\dskquota.dll - OK

[Scanpfad] c:\windows\system32\dskquoui.dll
c:\windows\system32\dskquoui.dll - OK

[Scanpfad] c:\windows\system32\dsquery.dll
c:\windows\system32\dsquery.dll - OK

[Scanpfad] c:\windows\system32\dssec.dll
c:\windows\system32\dssec.dll - OK

[Scanpfad] c:\windows\system32\dsuiext.dll
c:\windows\system32\dsuiext.dll - OK

[Scanpfad] c:\windows\system32\eappcfg.dll
c:\windows\system32\eappcfg.dll - OK

[Scanpfad] c:\windows\system32\eappprxy.dll
c:\windows\system32\eappprxy.dll - OK

[Scanpfad] c:\windows\system32\eapsvc.dll
c:\windows\system32\eapsvc.dll - OK

[Scanpfad] c:\windows\system32\ersvc.dll
c:\windows\system32\ersvc.dll - OK

[Scanpfad] c:\windows\system32\es.dll
c:\windows\system32\es.dll - OK

[Scanpfad] c:\windows\system32\esent.dll
c:\windows\system32\esent.dll - OK

[Scanpfad] c:\windows\system32\eventlog.dll
c:\windows\system32\eventlog.dll - OK

[Scanpfad] c:\windows\system32\extmgr.dll
c:\windows\system32\extmgr.dll - OK

[Scanpfad] c:\windows\system32\fdeploy.dll
c:\windows\system32\fdeploy.dll - OK

[Scanpfad] c:\windows\system32\firewall.cpl
c:\windows\system32\firewall.cpl - OK

[Scanpfad] c:\windows\system32\fontext.dll
c:\windows\system32\fontext.dll - Archiv BINARYRES
>c:\windows\system32\fontext.dll/data001 gepackt von MS COMPRESS
>>c:\windows\system32\fontext.dll/data001 - OK
>c:\windows\system32\fontext.dll/data002 gepackt von MS COMPRESS
>>c:\windows\system32\fontext.dll/data002 - OK
c:\windows\system32\fontext.dll - OK

[Scanpfad] c:\windows\system32\gdi32.dll
c:\windows\system32\gdi32.dll - OK

[Scanpfad] c:\windows\system32\gptext.dll
c:\windows\system32\gptext.dll - OK

[Scanpfad] c:\windows\system32\hhctrl.ocx
c:\windows\system32\hhctrl.ocx - OK

[Scanpfad] c:\windows\system32\hidserv.dll
c:\windows\system32\hidserv.dll - OK

[Scanpfad] c:\windows\system32\hkcmd.exe
c:\windows\system32\hkcmd.exe - OK

[Scanpfad] c:\windows\system32\hnetcfg.dll
c:\windows\system32\hnetcfg.dll - OK

[Scanpfad] c:\windows\system32\hp1006lm.dll
c:\windows\system32\hp1006lm.dll - OK

[Scanpfad] c:\windows\system32\hppeil.sys
c:\windows\system32\hppeil.sys - OK

[Scanpfad] c:\windows\system32\hticons.dll
c:\windows\system32\hticons.dll - OK

[Scanpfad] c:\windows\system32\icmui.dll
c:\windows\system32\icmui.dll - OK

[Scanpfad] c:\windows\system32\ie4uinit.exe
c:\windows\system32\ie4uinit.exe - OK

[Scanpfad] c:\windows\system32\iedkcs32.dll
c:\windows\system32\iedkcs32.dll - OK

[Scanpfad] c:\windows\system32\ieframe.dll
c:\windows\system32\ieframe.dll - OK

[Scanpfad] c:\windows\system32\iertutil.dll
c:\windows\system32\iertutil.dll - OK

[Scanpfad] c:\windows\system32\ieudinit.exe
c:\windows\system32\ieudinit.exe - OK

[Scanpfad] c:\windows\system32\igfxdev.dll
c:\windows\system32\igfxdev.dll - OK

[Scanpfad] c:\windows\system32\igfxpers.exe
c:\windows\system32\igfxpers.exe - OK

[Scanpfad] c:\windows\system32\igfxtray.exe
c:\windows\system32\igfxtray.exe - OK

[Scanpfad] c:\windows\system32\imagehlp.dll
c:\windows\system32\imagehlp.dll - OK

[Scanpfad] c:\windows\system32\imapi.exe
c:\windows\system32\imapi.exe - OK

[Scanpfad] c:\windows\system32\imm32.dll
c:\windows\system32\imm32.dll - OK

[Scanpfad] c:\windows\system32\inetcomm.dll
c:\windows\system32\inetcomm.dll - OK

[Scanpfad] c:\windows\system32\iphlpapi.dll
c:\windows\system32\iphlpapi.dll - OK

[Scanpfad] c:\windows\system32\ipnathlp.dll
c:\windows\system32\ipnathlp.dll - OK

[Scanpfad] c:\windows\system32\itss.dll
c:\windows\system32\itss.dll - OK

[Scanpfad] c:\windows\system32\kerberos.dll
c:\windows\system32\kerberos.dll - OK

[Scanpfad] c:\windows\system32\kernel32.dll
c:\windows\system32\kernel32.dll - OK

[Scanpfad] c:\windows\system32\kmsvc.dll
c:\windows\system32\kmsvc.dll - OK

[Scanpfad] c:\windows\system32\legitcheckcontrol.dll
c:\windows\system32\legitcheckcontrol.dll - OK

[Scanpfad] c:\windows\system32\linkinfo.dll
c:\windows\system32\linkinfo.dll - OK

[Scanpfad] c:\windows\system32\lmhsvc.dll
c:\windows\system32\lmhsvc.dll - OK

[Scanpfad] c:\windows\system32\localspl.dll
c:\windows\system32\localspl.dll - OK

[Scanpfad] c:\windows\system32\locator.exe
c:\windows\system32\locator.exe - OK

[Scanpfad] c:\windows\system32\logon.scr
c:\windows\system32\logon.scr - OK

[Scanpfad] c:\windows\system32\logonui.exe
c:\windows\system32\logonui.exe - OK

[Scanpfad] c:\windows\system32\lsasrv.dll
c:\windows\system32\lsasrv.dll - OK

[Scanpfad] c:\windows\system32\lsass.exe
c:\windows\system32\lsass.exe - OK

[Scanpfad] c:\windows\system32\lsdelete.exe
c:\windows\system32\lsdelete.exe - OK

[Scanpfad] c:\windows\system32\lz32.dll
c:\windows\system32\lz32.dll - OK

[Scanpfad] c:\windows\system32\mlang.dll
c:\windows\system32\mlang.dll - OK

[Scanpfad] c:\windows\system32\mmcshext.dll
c:\windows\system32\mmcshext.dll - OK

[Scanpfad] c:\windows\system32\mmsys.cpl
c:\windows\system32\mmsys.cpl - OK

[Scanpfad] c:\windows\system32\mnmsrvc.exe
c:\windows\system32\mnmsrvc.exe - OK

[Scanpfad] c:\windows\system32\mpr.dll
c:\windows\system32\mpr.dll - OK

[Scanpfad] c:\windows\system32\mprdim.dll
c:\windows\system32\mprdim.dll - OK

[Scanpfad] c:\windows\system32\msacm32.dll
c:\windows\system32\msacm32.dll - OK

[Scanpfad] c:\windows\system32\msapsspc.dll
c:\windows\system32\msapsspc.dll - OK

[Scanpfad] c:\windows\system32\msasn1.dll
c:\windows\system32\msasn1.dll - OK

[Scanpfad] c:\windows\system32\mscoree.dll
c:\windows\system32\mscoree.dll - OK

[Scanpfad] c:\windows\system32\mscories.dll
c:\windows\system32\mscories.dll - OK

[Scanpfad] c:\windows\system32\msctf.dll
c:\windows\system32\msctf.dll - OK

[Scanpfad] c:\windows\system32\msctfime.ime
c:\windows\system32\msctfime.ime - OK

[Scanpfad] c:\windows\system32\msdtc.exe
c:\windows\system32\msdtc.exe - OK

[Scanpfad] c:\windows\system32\msgina.dll
c:\windows\system32\msgina.dll - OK

[Scanpfad] c:\windows\system32\msgsvc.dll
c:\windows\system32\msgsvc.dll - OK

[Scanpfad] c:\windows\system32\mshtml.dll
c:\windows\system32\mshtml.dll - OK

[Scanpfad] c:\windows\system32\msi.dll
c:\windows\system32\msi.dll - OK

[Scanpfad] c:\windows\system32\msieftp.dll
c:\windows\system32\msieftp.dll - OK

[Scanpfad] c:\windows\system32\msiexec.exe
c:\windows\system32\msiexec.exe - OK

[Scanpfad] c:\windows\system32\msimg32.dll
c:\windows\system32\msimg32.dll - OK

[Scanpfad] c:\windows\system32\msnsspc.dll
c:\windows\system32\msnsspc.dll - OK

[Scanpfad] c:\windows\system32\mspmsnsv.dll
c:\windows\system32\mspmsnsv.dll - OK

[Scanpfad] c:\windows\system32\msprivs.dll
c:\windows\system32\msprivs.dll - OK

[Scanpfad] c:\windows\system32\mstask.dll
c:\windows\system32\mstask.dll - OK

[Scanpfad] c:\windows\system32\msutb.dll
c:\windows\system32\msutb.dll - OK

[Scanpfad] c:\windows\system32\msv1_0.dll
c:\windows\system32\msv1_0.dll - OK

[Scanpfad] c:\windows\system32\msvcp60.dll
c:\windows\system32\msvcp60.dll - OK

[Scanpfad] c:\windows\system32\msvcrt.dll
c:\windows\system32\msvcrt.dll - OK

[Scanpfad] c:\windows\system32\msvidctl.dll
c:\windows\system32\msvidctl.dll - OK

[Scanpfad] c:\windows\system32\mswsock.dll
c:\windows\system32\mswsock.dll - OK

[Scanpfad] c:\windows\system32\mui\0007\hhctrlui.dll
c:\windows\system32\mui\0007\hhctrlui.dll - OK

[Scanpfad] c:\windows\system32\mydocs.dll
c:\windows\system32\mydocs.dll - OK

[Scanpfad] c:\windows\system32\ncobjapi.dll
c:\windows\system32\ncobjapi.dll - OK

[Scanpfad] c:\windows\system32\nddeapi.dll
c:\windows\system32\nddeapi.dll - OK

[Scanpfad] c:\windows\system32\netapi32.dll
c:\windows\system32\netapi32.dll - OK

[Scanpfad] c:\windows\system32\netdde.exe
c:\windows\system32\netdde.exe - OK

[Scanpfad] c:\windows\system32\netlogon.dll
c:\windows\system32\netlogon.dll - OK

[Scanpfad] c:\windows\system32\netman.dll
c:\windows\system32\netman.dll - OK

[Scanpfad] c:\windows\system32\netplwiz.dll
c:\windows\system32\netplwiz.dll - OK

[Scanpfad] c:\windows\system32\netrap.dll
c:\windows\system32\netrap.dll - OK

[Scanpfad] c:\windows\system32\netsetup.cpl
c:\windows\system32\netsetup.cpl - OK

[Scanpfad] c:\windows\system32\netshell.dll
c:\windows\system32\netshell.dll - OK

[Scanpfad] c:\windows\system32\netui0.dll
c:\windows\system32\netui0.dll - OK

[Scanpfad] c:\windows\system32\netui1.dll
c:\windows\system32\netui1.dll - OK

[Scanpfad] c:\windows\system32\normaliz.dll
c:\windows\system32\normaliz.dll - OK

[Scanpfad] c:\windows\system32\ntdll.dll
c:\windows\system32\ntdll.dll - OK

[Scanpfad] c:\windows\system32\ntdsapi.dll
c:\windows\system32\ntdsapi.dll - OK

[Scanpfad] c:\windows\system32\ntlanman.dll
c:\windows\system32\ntlanman.dll - OK

[Scanpfad] c:\windows\system32\ntlanui2.dll
c:\windows\system32\ntlanui2.dll - OK

[Scanpfad] c:\windows\system32\ntmarta.dll
c:\windows\system32\ntmarta.dll gepackt von FLY-CODE
>c:\windows\system32\ntmarta.dll - OK

[Scanpfad] c:\windows\system32\ntmssvc.dll
c:\windows\system32\ntmssvc.dll - OK

[Scanpfad] c:\windows\system32\ntsd.exe
c:\windows\system32\ntsd.exe - OK

[Scanpfad] c:\windows\system32\ntshrui.dll
c:\windows\system32\ntshrui.dll - OK

[Scanpfad] c:\windows\system32\occache.dll
c:\windows\system32\occache.dll - OK

[Scanpfad] c:\windows\system32\odbc32.dll
c:\windows\system32\odbc32.dll - OK

[Scanpfad] c:\windows\system32\odbcint.dll
c:\windows\system32\odbcint.dll - OK
         

Alt 08.04.2009, 14:24   #14
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Teil 3

Code:
ATTFilter
[Scanpfad] c:\windows\system32\ole32.dll
c:\windows\system32\ole32.dll - OK

[Scanpfad] c:\windows\system32\oleaut32.dll
c:\windows\system32\oleaut32.dll - OK

[Scanpfad] c:\windows\system32\olecli32.dll
c:\windows\system32\olecli32.dll - OK

[Scanpfad] c:\windows\system32\olecnv32.dll
c:\windows\system32\olecnv32.dll - OK

[Scanpfad] c:\windows\system32\olesvr32.dll
c:\windows\system32\olesvr32.dll - OK

[Scanpfad] c:\windows\system32\olethk32.dll
c:\windows\system32\olethk32.dll - OK

[Scanpfad] c:\windows\system32\onex.dll
c:\windows\system32\onex.dll - OK

[Scanpfad] c:\windows\system32\photowiz.dll
c:\windows\system32\photowiz.dll - OK

[Scanpfad] c:\windows\system32\pjlmon.dll
c:\windows\system32\pjlmon.dll - OK

[Scanpfad] c:\windows\system32\plcndis5.sys
c:\windows\system32\plcndis5.sys - OK

[Scanpfad] c:\windows\system32\powrprof.dll
c:\windows\system32\powrprof.dll - OK

[Scanpfad] c:\windows\system32\printui.dll
c:\windows\system32\printui.dll - OK

[Scanpfad] c:\windows\system32\profmap.dll
c:\windows\system32\profmap.dll - OK

[Scanpfad] c:\windows\system32\psapi.dll
c:\windows\system32\psapi.dll - OK

[Scanpfad] c:\windows\system32\qagentrt.dll
c:\windows\system32\qagentrt.dll - OK

[Scanpfad] c:\windows\system32\qmgr.dll
c:\windows\system32\qmgr.dll - OK

[Scanpfad] c:\windows\system32\rasadhlp.dll
c:\windows\system32\rasadhlp.dll - OK

[Scanpfad] c:\windows\system32\rasauto.dll
c:\windows\system32\rasauto.dll - OK

[Scanpfad] c:\windows\system32\rasmans.dll
c:\windows\system32\rasmans.dll - OK

[Scanpfad] c:\windows\system32\regapi.dll
c:\windows\system32\regapi.dll - OK

[Scanpfad] c:\windows\system32\regsvc.dll
c:\windows\system32\regsvc.dll - OK

[Scanpfad] c:\windows\system32\regsvr32.exe
c:\windows\system32\regsvr32.exe - OK

[Scanpfad] c:\windows\system32\remotepg.dll
c:\windows\system32\remotepg.dll - OK

[Scanpfad] c:\windows\system32\riched20.dll
c:\windows\system32\riched20.dll - OK

[Scanpfad] c:\windows\system32\riched32.dll
c:\windows\system32\riched32.dll - OK

[Scanpfad] c:\windows\system32\rpcrt4.dll
c:\windows\system32\rpcrt4.dll - OK

[Scanpfad] c:\windows\system32\rpcss.dll
c:\windows\system32\rpcss.dll - OK

[Scanpfad] c:\windows\system32\rsaenh.dll
c:\windows\system32\rsaenh.dll - OK

[Scanpfad] c:\windows\system32\rshx32.dll
c:\windows\system32\rshx32.dll - OK

[Scanpfad] c:\windows\system32\rsvp.exe
c:\windows\system32\rsvp.exe - OK

[Scanpfad] c:\windows\system32\rsvpsp.dll
c:\windows\system32\rsvpsp.dll - OK

[Scanpfad] c:\windows\system32\rtutils.dll
c:\windows\system32\rtutils.dll - OK

[Scanpfad] c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe - OK

[Scanpfad] c:\windows\system32\samlib.dll
c:\windows\system32\samlib.dll - OK

[Scanpfad] c:\windows\system32\samsrv.dll
c:\windows\system32\samsrv.dll - OK

[Scanpfad] c:\windows\system32\scardsvr.exe
c:\windows\system32\scardsvr.exe - OK

[Scanpfad] c:\windows\system32\scecli.dll
c:\windows\system32\scecli.dll - OK

[Scanpfad] c:\windows\system32\scesrv.dll
c:\windows\system32\scesrv.dll - OK

[Scanpfad] c:\windows\system32\schannel.dll
c:\windows\system32\schannel.dll - OK

[Scanpfad] c:\windows\system32\schedsvc.dll
c:\windows\system32\schedsvc.dll - OK

[Scanpfad] c:\windows\system32\sclgntfy.dll
c:\windows\system32\sclgntfy.dll - OK

[Scanpfad] c:\windows\system32\seclogon.dll
c:\windows\system32\seclogon.dll - OK

[Scanpfad] c:\windows\system32\secur32.dll
c:\windows\system32\secur32.dll - OK

[Scanpfad] c:\windows\system32\sendmail.dll
c:\windows\system32\sendmail.dll - OK

[Scanpfad] c:\windows\system32\sens.dll
c:\windows\system32\sens.dll - OK

[Scanpfad] c:\windows\system32\services.exe
c:\windows\system32\services.exe - OK

[Scanpfad] c:\windows\system32\sessmgr.exe
c:\windows\system32\sessmgr.exe - OK

[Scanpfad] c:\windows\system32\setupapi.dll
c:\windows\system32\setupapi.dll - OK

[Scanpfad] c:\windows\system32\sfc.dll
c:\windows\system32\sfc.dll - OK

[Scanpfad] c:\windows\system32\sfc_os.dll
c:\windows\system32\sfc_os.dll - OK

[Scanpfad] c:\windows\system32\shdocvw.dll
c:\windows\system32\shdocvw.dll - OK

[Scanpfad] c:\windows\system32\shell32.dll
c:\windows\system32\shell32.dll - OK

[Scanpfad] c:\windows\system32\shimeng.dll
c:\windows\system32\shimeng.dll - OK

[Scanpfad] c:\windows\system32\shimgvw.dll
c:\windows\system32\shimgvw.dll - OK

[Scanpfad] c:\windows\system32\shlwapi.dll
c:\windows\system32\shlwapi.dll - OK

[Scanpfad] c:\windows\system32\shmedia.dll
c:\windows\system32\shmedia.dll - OK

[Scanpfad] c:\windows\system32\shmgrate.exe
c:\windows\system32\shmgrate.exe - OK

[Scanpfad] c:\windows\system32\shscrap.dll
c:\windows\system32\shscrap.dll - OK

[Scanpfad] c:\windows\system32\shsvcs.dll
c:\windows\system32\shsvcs.dll - OK

[Scanpfad] c:\windows\system32\slayerxp.dll
c:\windows\system32\slayerxp.dll - OK

[Scanpfad] c:\windows\system32\smlogsvc.exe
c:\windows\system32\smlogsvc.exe - OK

[Scanpfad] c:\windows\system32\smss.exe
c:\windows\system32\smss.exe - OK

[Scanpfad] c:\windows\system32\spool\drivers\w32x86\3\hp1006sx.dll
c:\windows\system32\spool\drivers\w32x86\3\hp1006sx.dll - OK

[Scanpfad] c:\windows\system32\spoolsv.exe
c:\windows\system32\spoolsv.exe - OK

[Scanpfad] c:\windows\system32\srsvc.dll
c:\windows\system32\srsvc.dll - OK

[Scanpfad] c:\windows\system32\srvsvc.dll
c:\windows\system32\srvsvc.dll - OK

[Scanpfad] c:\windows\system32\ssdpsrv.dll
c:\windows\system32\ssdpsrv.dll - OK

[Scanpfad] c:\windows\system32\stobject.dll
c:\windows\system32\stobject.dll - OK

[Scanpfad] c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe - OK

[Scanpfad] c:\windows\system32\sxs.dll
c:\windows\system32\sxs.dll - OK

[Scanpfad] c:\windows\system32\syncui.dll
c:\windows\system32\syncui.dll - OK

[Scanpfad] c:\windows\system32\tapisrv.dll
c:\windows\system32\tapisrv.dll - OK

[Scanpfad] c:\windows\system32\tcpmon.dll
c:\windows\system32\tcpmon.dll - OK

[Scanpfad] c:\windows\system32\termsrv.dll
c:\windows\system32\termsrv.dll - OK

[Scanpfad] c:\windows\system32\themeui.dll
c:\windows\system32\themeui.dll - OK

[Scanpfad] c:\windows\system32\tlntsvr.exe
c:\windows\system32\tlntsvr.exe - OK

[Scanpfad] c:\windows\system32\tpsmain.exe
c:\windows\system32\tpsmain.exe - OK

[Scanpfad] c:\windows\system32\trkwks.dll
c:\windows\system32\trkwks.dll - OK

[Scanpfad] c:\windows\system32\twext.dll
c:\windows\system32\twext.dll - OK

[Scanpfad] c:\windows\system32\umpnpmgr.dll
c:\windows\system32\umpnpmgr.dll - OK

[Scanpfad] c:\windows\system32\upnphost.dll
c:\windows\system32\upnphost.dll - OK

[Scanpfad] c:\windows\system32\ups.exe
c:\windows\system32\ups.exe - OK

[Scanpfad] c:\windows\system32\url.dll
c:\windows\system32\url.dll - OK

[Scanpfad] c:\windows\system32\urlmon.dll
c:\windows\system32\urlmon.dll - OK

[Scanpfad] c:\windows\system32\usbmon.dll
c:\windows\system32\usbmon.dll - OK

[Scanpfad] c:\windows\system32\user32.dll
c:\windows\system32\user32.dll - OK

[Scanpfad] c:\windows\system32\userenv.dll
c:\windows\system32\userenv.dll - OK

[Scanpfad] c:\windows\system32\userinit.exe
c:\windows\system32\userinit.exe - OK

[Scanpfad] c:\windows\system32\uxtheme.dll
c:\windows\system32\uxtheme.dll - OK

[Scanpfad] c:\windows\system32\version.dll
c:\windows\system32\version.dll - OK

[Scanpfad] c:\windows\system32\vssapi.dll
c:\windows\system32\vssapi.dll - OK

[Scanpfad] c:\windows\system32\vssvc.exe
c:\windows\system32\vssvc.exe - OK

[Scanpfad] c:\windows\system32\w32time.dll
c:\windows\system32\w32time.dll - OK

[Scanpfad] c:\windows\system32\w3ssl.dll
c:\windows\system32\w3ssl.dll - OK

[Scanpfad] c:\windows\system32\wbem\esscli.dll
c:\windows\system32\wbem\esscli.dll - OK

[Scanpfad] c:\windows\system32\wbem\fastprox.dll
c:\windows\system32\wbem\fastprox.dll - OK

[Scanpfad] c:\windows\system32\wbem\repdrvfs.dll
c:\windows\system32\wbem\repdrvfs.dll - OK

[Scanpfad] c:\windows\system32\wbem\wbemcomn.dll
c:\windows\system32\wbem\wbemcomn.dll - OK

[Scanpfad] c:\windows\system32\wbem\wbemcore.dll
c:\windows\system32\wbem\wbemcore.dll - OK

[Scanpfad] c:\windows\system32\wbem\wbemess.dll
c:\windows\system32\wbem\wbemess.dll - OK

[Scanpfad] c:\windows\system32\wbem\winmgmt.exe
c:\windows\system32\wbem\winmgmt.exe - OK

[Scanpfad] c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wbem\wmiapsrv.exe - OK

[Scanpfad] c:\windows\system32\wbem\wmiprvsd.dll
c:\windows\system32\wbem\wmiprvsd.dll - OK

[Scanpfad] c:\windows\system32\wbem\wmisvc.dll
c:\windows\system32\wbem\wmisvc.dll - OK

[Scanpfad] c:\windows\system32\wbem\wmiutils.dll
c:\windows\system32\wbem\wmiutils.dll - OK

[Scanpfad] c:\windows\system32\wdigest.dll
c:\windows\system32\wdigest.dll - OK

[Scanpfad] c:\windows\system32\webcheck.dll
c:\windows\system32\webcheck.dll - OK

[Scanpfad] c:\windows\system32\webclnt.dll
c:\windows\system32\webclnt.dll - OK

[Scanpfad] c:\windows\system32\wiascr.dll
c:\windows\system32\wiascr.dll - OK

[Scanpfad] c:\windows\system32\wiaservc.dll
c:\windows\system32\wiaservc.dll - OK

[Scanpfad] c:\windows\system32\wiashext.dll
c:\windows\system32\wiashext.dll - OK

[Scanpfad] c:\windows\system32\wininet.dll
c:\windows\system32\wininet.dll - OK

[Scanpfad] c:\windows\system32\winlogon.exe
c:\windows\system32\winlogon.exe - OK

[Scanpfad] c:\windows\system32\winmm.dll
c:\windows\system32\winmm.dll - OK

[Scanpfad] c:\windows\system32\winrnr.dll
c:\windows\system32\winrnr.dll - OK

[Scanpfad] c:\windows\system32\winscard.dll
c:\windows\system32\winscard.dll - OK

[Scanpfad] c:\windows\system32\winspool.drv
c:\windows\system32\winspool.drv - OK

[Scanpfad] c:\windows\system32\winsrv.dll
c:\windows\system32\winsrv.dll - OK

[Scanpfad] c:\windows\system32\winsta.dll
c:\windows\system32\winsta.dll gepackt von FLY-CODE
>c:\windows\system32\winsta.dll - OK

[Scanpfad] c:\windows\system32\wintrust.dll
c:\windows\system32\wintrust.dll - OK

[Scanpfad] c:\windows\system32\wkssvc.dll
c:\windows\system32\wkssvc.dll - OK

[Scanpfad] c:\windows\system32\wldap32.dll
c:\windows\system32\wldap32.dll - OK

[Scanpfad] c:\windows\system32\wlnotify.dll
c:\windows\system32\wlnotify.dll - OK

[Scanpfad] c:\windows\system32\wmpshell.dll
c:\windows\system32\wmpshell.dll - OK

[Scanpfad] c:\windows\system32\wpdshext.dll
c:\windows\system32\wpdshext.dll - OK

[Scanpfad] c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\wpdshserviceobj.dll - OK

[Scanpfad] c:\windows\system32\ws2_32.dll
c:\windows\system32\ws2_32.dll - OK

[Scanpfad] c:\windows\system32\ws2help.dll
c:\windows\system32\ws2help.dll - OK

[Scanpfad] c:\windows\system32\wscsvc.dll
c:\windows\system32\wscsvc.dll - OK

[Scanpfad] c:\windows\system32\wshext.dll
c:\windows\system32\wshext.dll - OK

[Scanpfad] c:\windows\system32\wshtcpip.dll
c:\windows\system32\wshtcpip.dll - OK

[Scanpfad] c:\windows\system32\wsock32.dll
c:\windows\system32\wsock32.dll - OK

[Scanpfad] c:\windows\system32\wtsapi32.dll
c:\windows\system32\wtsapi32.dll - OK

[Scanpfad] c:\windows\system32\wuaucpl.cpl
c:\windows\system32\wuaucpl.cpl - OK

[Scanpfad] c:\windows\system32\wuauserv.dll
c:\windows\system32\wuauserv.dll - OK

[Scanpfad] c:\windows\system32\wudfsvc.dll
c:\windows\system32\wudfsvc.dll gepackt von PESTUB
>c:\windows\system32\wudfsvc.dll - OK

[Scanpfad] c:\windows\system32\wzcsvc.dll
c:\windows\system32\wzcsvc.dll - OK

[Scanpfad] c:\windows\system32\xmlprov.dll
c:\windows\system32\xmlprov.dll - OK

[Scanpfad] c:\windows\system32\xpsp2res.dll
c:\windows\system32\xpsp2res.dll - OK

[Scanpfad] c:\windows\system32\zipfldr.dll
c:\windows\system32\zipfldr.dll - OK

[Scanpfad] c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll
c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll - OK

[Scanpfad] c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll
c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll - OK

[Scanpfad] c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll - OK


[Scanpfad] d:\tmp\hgu8ynfx.dll
d:\tmp\hgu8ynfx.dll gepackt von ASPACK
>d:\tmp\hgu8ynfx.dll - OK

[Scanpfad] d:\tmp\rarsfx0\_start.exe
d:\tmp\rarsfx0\_start.exe - OK

[Scanpfad] d:\tmp\rarsfx0\setup.exe
d:\tmp\rarsfx0\setup.exe - Archiv BINARYRES
>d:\tmp\rarsfx0\setup.exe/data001 gepackt von ASPACK
>>d:\tmp\rarsfx0\setup.exe/data001 - OK
>d:\tmp\rarsfx0\setup.exe/data002 - OK
>d:\tmp\rarsfx0\setup.exe/data003 - OK
d:\tmp\rarsfx0\setup.exe - OK
         

Alt 08.04.2009, 14:26   #15
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Standard

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3



Teil 4

Code:
ATTFilter
[Scanpfad] e:\dateien\_\download\launch.exe
e:\dateien\_\download\launch.exe - Archiv ZIP
>e:\dateien\_\download\launch.exe/be-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/bg-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/cn-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/cs-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/de-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/dwebio16.dll - OK
>e:\dateien\_\download\launch.exe/dwebio32.dll gepackt von ASPACK
>>e:\dateien\_\download\launch.exe/dwebio32.dll - OK
>e:\dateien\_\download\launch.exe/el-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/en-drwebgui.chm - Archiv CHM
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#IDXHDR - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#ITBITS - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#IVB - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#STRINGS - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#SYSTEM - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#TOPICS - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#URLSTR - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#URLTBL - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/#WINDOWS - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$FIftiMain - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$OBJINST - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/BTree - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/Data - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/Map - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWAssociativeLinks/Property - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/$WWKeywordLinks/Property - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/bull.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/butpause2.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/butstart1.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/butstop3.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/com_params.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/CSHelp.txt - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/default.css - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/en-drwebgui.hhc - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/en-drwebgui_popup_text.js - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/helpman_topicinit.js - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_aboutbox.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_curesettings.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_main.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_scan.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_scan_path.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_dialog_stat.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_actions.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_common.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_log.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_scan.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/idd_proppage_types.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/intro.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/legal.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/open.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/ph_adv.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc01.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc02.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc03.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_action.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_action_adv.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_drweb_logo.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_general.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_inf.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_log.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_path_mask.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_scan.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_stat.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/sc_types.png - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/scan_params.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/scan_settings.htm - OK
>>e:\dateien\_\download\launch.exe/en-drwebgui.chm/scanning.htm - OK
>e:\dateien\_\download\launch.exe/en-drwebgui.chm - OK
>e:\dateien\_\download\launch.exe/eo-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/es-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/et-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/fr-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/hu-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/it-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/ja-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/ko-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/lt-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/lv-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/nl-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/no-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/pl-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/pt-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/ru-cureit.dwl - OK
>e:\dateien\_\download\launch.exe/ru-drwebgui.chm - Archiv CHM
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#IDXHDR - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#ITBITS - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#IVB - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#STRINGS - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#SYSTEM - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#TOPICS - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#URLSTR - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#URLTBL - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/#WINDOWS - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$FIftiMain - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$OBJINST - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/BTree - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/Data - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/Map - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWAssociativeLinks/Property - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/$WWKeywordLinks/Property - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/bull.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/butpause.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/butstart.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/butstop.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/com_params.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/CSHelp.txt - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/default.css - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/helpman_topicinit.js - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_aboutbox.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_curesettings.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_main.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_scan.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_scan_path.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_dialog_stat.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_actions.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_common.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_log.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_scan.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/idd_proppage_types.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/intro.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/open.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/ph_adv.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/ru-drwebgui.hhc - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/ru-drwebgui_popup_text.js - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc01.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc02.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc03.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_action.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_action_adv.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_drweb_logo.zoom76.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_general.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_inf.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_log.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_path_mask.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_scan.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_stat.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/sc_types.png - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/scan_params.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/scan_settings.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/scanning.htm - OK
>>e:\dateien\_\download\launch.exe/ru-drwebgui.chm/topic.htm - OK
>e:\dateien\_\download\launch.exe/ru-drwebgui.chm - OK
>e:\dateien\_\download\launch.exe/setup.dll - Archiv BINARYRES
>>e:\dateien\_\download\launch.exe/setup.dll/data001 - OK
>e:\dateien\_\download\launch.exe/setup.dll - OK
>e:\dateien\_\download\launch.exe/setup.exe - Archiv BINARYRES
>>e:\dateien\_\download\launch.exe/setup.exe/data001 gepackt von ASPACK
>>>e:\dateien\_\download\launch.exe/setup.exe/data001 - OK
>>e:\dateien\_\download\launch.exe/setup.exe/data002 - OK
>>e:\dateien\_\download\launch.exe/setup.exe/data003 - OK
         

Antwort

Themen zu Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3
.com, 0xc0000034, 1.exe, analysis, bluescree, controlset002, dns-server, encrypt, failed, file, infected, logfile, löschen, malwarebytes' anti-malware, neustart, norman, object, problem, programme, realtek, registrierungsschlüssel, registry, registry key, rootkit, rthdcpl.exe, scan, security, security suite, starten, system, system volume information, trick, trojaner, viren, windows, windows xp, windows-update, zwei trojaner




Ähnliche Themen: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3


  1. Win32:Rootkit-gen[Rtk] in C:\OEM\Preload\Autorun\APP\Power Management. AVAST
    Plagegeister aller Art und deren Bekämpfung - 17.01.2015 (5)
  2. Trojaner win32/renos.mj
    Plagegeister aller Art und deren Bekämpfung - 30.08.2011 (1)
  3. Trojaner Win32/Renos.Lx und Win32/Renos.Nx + weitere (?)
    Log-Analyse und Auswertung - 09.11.2010 (1)
  4. Autorun blockiert C:\autorun.inf frisches System
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (6)
  5. Ich hab Ihn auch Renos.mq und Renos.lx
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (2)
  6. "autorun.inf ist der Trojaner: TR/Autorun.TE" Meldung beim Anschluss eines USB Sticks
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (19)
  7. renos.jm Trojaner
    Log-Analyse und Auswertung - 28.01.2010 (20)
  8. renos.jm Trojaner entfernen
    Log-Analyse und Auswertung - 27.01.2010 (1)
  9. Trojaner: win32.renos.jm
    Plagegeister aller Art und deren Bekämpfung - 21.12.2009 (6)
  10. Trojaner Renos eingefangen?
    Log-Analyse und Auswertung - 05.12.2009 (13)
  11. Win32/Renos.JM Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.11.2009 (1)
  12. TROJANER Flut! W32/Delf.EKEH, INI/AutoRun.CYI, WSCommCntr1.exe, BAT/Autorun.IZJ
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (3)
  13. WinTrojaner: 32/Renos.N, Win32/Renos.JT, Win32/Renos.JI
    Log-Analyse und Auswertung - 05.10.2009 (11)
  14. Virus/Trojaner gaopdxcounter (Trojan.Agent)
    Plagegeister aller Art und deren Bekämpfung - 30.09.2009 (44)
  15. autorun.inf: Trojan.Autorun-271 FOUND - USB-Stick
    Log-Analyse und Auswertung - 11.03.2009 (1)
  16. Trojaner Renos.8192.2 help
    Plagegeister aller Art und deren Bekämpfung - 18.09.2007 (9)
  17. Trojaner TR/RENOS.12288
    Plagegeister aller Art und deren Bekämpfung - 27.08.2007 (8)

Zum Thema Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Hallo liebe Forumsmitglieder! Ich wende mich an Euch, weil mein Problem vertrackt zu sein scheint und ich etwas den Überblick verloren habe, was ich noch machen muss, um mein System - Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3...
Archiv
Du betrachtest: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.