| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Recycler konnte nicht gefunden werden, wenn man auf die Festplatte klickt?!?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
07.07.2009, 15:48
| #1 |
 |  Recycler konnte nicht gefunden werden, wenn man auf die Festplatte klickt?!? Das ist das Protokoll vom Gmer Code:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-07 16:44:38
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT BA76A136 ZwCreateKey
SSDT BA76A12C ZwCreateThread
SSDT BA76A13B ZwDeleteKey
SSDT BA76A145 ZwDeleteValueKey
SSDT BA76A14A ZwLoadKey
SSDT BA76A118 ZwOpenProcess
SSDT BA76A11D ZwOpenThread
SSDT BA76A154 ZwReplaceKey
SSDT BA76A14F ZwRestoreKey
SSDT BA76A140 ZwSetValueKey
SSDT BA76A127 ZwTerminateProcess
Code 8A323F08 ZwEnumerateKey
Code 89B14860 ZwFlushInstructionCache
Code 89CF7B3E IofCallDriver
Code 8A4606C6 IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 89CF7B43
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A4606CB
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP 89B14864
PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF0 5 Bytes JMP 8A323F0C
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\drivers\gxvxcwahqnoxpbpptmppuiqltivasrprujovm.sys (*** hidden *** ) [SYSTEM] gxvxcserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcwahqnoxpbpptmppuiqltivasrprujovm.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcwahqnoxpbpptmppuiqltivasrprujovm.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcfyqjxjlqjbargsamiorobrxnsoqpxevd.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcwahqnoxpbpptmppuiqltivasrprujovm.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcwahqnoxpbpptmppuiqltivasrprujovm.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcfyqjxjlqjbargsamiorobrxnsoqpxevd.dll
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\gxvxccbowpjdsniwxddeayxoxseajvugkxded.sys 37888 bytes executable
File C:\WINDOWS\system32\drivers\gxvxcnodyirwvvmybwibqnutokmlqjstkvobu.sys 37888 bytes executable
File C:\WINDOWS\system32\drivers\gxvxcrndltoigijoehtkaorxnloumxdyemvim.sys 37888 bytes executable
File C:\WINDOWS\system32\drivers\gxvxctydmejlrgvwmjaoarmkaovaqcuspfjgo.sys 37888 bytes executable
File C:\WINDOWS\system32\drivers\gxvxcwahqnoxpbpptmppuiqltivasrprujovm.sys 37888 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\drivers\gxvxcwwgqghdlhnofonvtieupirpvskcyqtgf.sys 37888 bytes executable
File C:\WINDOWS\system32\gxvxccounter 4 bytes
File C:\WINDOWS\system32\gxvxcfyqjxjlqjbargsamiorobrxnsoqpxevd.dll 26625 bytes executable
---- EOF - GMER 1.0.15 ----
|
|
07.07.2009, 16:31
| #2 |
  | Recycler konnte nicht gefunden werden, wenn man auf die Festplatte klickt?!? Hi,
__________________da ist ein weitverbreitetes Rootkit am Werk, daher: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Datentrager (USB-Festplatten, Sticks etc.) an den Rechner bei gedrückter Umschalttaste anschließen, die seit der Infektion an dem Rechner angeschlossen waren! Da der sich auch auf CD/DVD mitdraufbrennen kann, ev. im Infektionszeitraum gebrannte Datenträger vernichten... Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Danach bitte MAM installieren, updaten und komplettscan: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. chris
__________________ |
|
09.07.2009, 11:37
| #3 |
| | Recycler konnte nicht gefunden werden, wenn man auf die Festplatte klickt?!? Hi,
__________________hier ist der/die/das ComboFixLog Code:
ATTFilter ComboFix 09-07-08.06 - Funke 09.07.2009 12:26.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2962 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Funke\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Im Speicher befindliches AV aktiv.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
c:\recycler\S-1-5-21-1614895754-764733703-1801674531-500
c:\windows\Installer\86fe.msi
c:\windows\system32\drivers\gxvxccbowpjdsniwxddeayxoxseajvugkxded.sys
c:\windows\system32\drivers\gxvxcnodyirwvvmybwibqnutokmlqjstkvobu.sys
c:\windows\system32\drivers\gxvxcrndltoigijoehtkaorxnloumxdyemvim.sys
c:\windows\system32\drivers\gxvxctydmejlrgvwmjaoarmkaovaqcuspfjgo.sys
c:\windows\system32\drivers\gxvxcwahqnoxpbpptmppuiqltivasrprujovm.sys
c:\windows\system32\drivers\gxvxcwwgqghdlhnofonvtieupirpvskcyqtgf.sys
c:\windows\system32\gxvxccounter
c:\windows\system32\gxvxcfyqjxjlqjbargsamiorobrxnsoqpxevd.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_GXVXCSERV.SYS
((((((((((((((((((((((( Dateien erstellt von 2009-06-09 bis 2009-07-09 ))))))))))))))))))))))))))))))
.
2009-07-06 20:01 . 2009-07-06 20:01 -------- d-----w- c:\programme\Trend Micro
2009-07-06 13:52 . 2009-07-06 13:52 604416 ----a-w- c:\windows\system32\TUProgSt.exe
2009-07-06 13:52 . 2009-04-27 12:21 28928 ----a-w- c:\windows\system32\uxtuneup.dll
2009-07-06 13:52 . 2009-07-06 13:52 361216 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-07-06 13:52 . 2009-07-06 13:52 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\TuneUp Software
2009-07-06 13:52 . 2009-07-06 13:52 -------- d-----w- c:\programme\TuneUp Utilities 2009
2009-07-06 13:52 . 2009-07-06 13:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-07-06 13:52 . 2009-07-06 13:52 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-07-06 13:49 . 2009-07-06 13:49 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-06 13:49 . 2009-07-06 13:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-06 13:36 . 2009-07-06 13:36 -------- d-----w- c:\programme\Avira
2009-07-06 13:36 . 2009-07-06 13:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-07-06 13:36 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-06 13:36 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-07-06 13:36 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-07-05 10:54 . 2009-07-05 10:54 -------- d-----w- c:\programme\Kaspersky Lab
2009-07-02 18:55 . 2009-07-02 18:55 41808 ----a-w- c:\windows\system32\xfcodec.dll
2009-06-30 14:34 . 2009-06-30 14:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-06-30 14:23 . 2009-06-30 14:44 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\MSNInstaller
2009-06-20 20:28 . 2009-06-20 20:28 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2009-06-20 20:28 . 2009-06-20 20:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-06-20 14:33 . 2009-06-20 14:33 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\SoundSpectrum
2009-06-20 06:32 . 2009-06-23 19:11 -------- d-----w- c:\programme\DivX
2009-06-20 06:32 . 2009-06-20 06:32 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-06-19 19:09 . 2009-06-19 19:09 -------- d-----w- c:\windows\system32\NtmsData
2009-06-18 17:14 . 2009-06-18 17:14 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-18 16:47 . 2009-06-18 16:47 -------- d-----w- c:\programme\Rockstar Games
2009-06-18 04:58 . 2009-02-18 22:26 301656 ----a-w- c:\windows\system32\BtCoreIf.dll
2009-06-18 04:58 . 2009-06-18 04:58 10134 ----a-r- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Microsoft\Installer\{3101CB58-3482-4D21-AF1A-7057FC935355}\ARPPRODUCTICON.exe
2009-06-18 04:58 . 2009-06-18 04:59 -------- d-----w- c:\programme\Gemeinsame Dateien\Logishrd
2009-06-15 10:05 . 2009-06-15 10:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winferno
2009-06-15 10:03 . 2009-06-15 10:03 -------- d-----w- c:\programme\SoundSpectrum
2009-06-15 10:02 . 2006-10-09 11:06 495616 ----a-w- c:\windows\system32\WINUTIL5.DLL
2009-06-15 10:02 . 2006-05-17 06:40 393216 ----a-w- c:\windows\system32\WINLCTL5.DLL
2009-06-15 10:02 . 2009-06-15 10:02 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Yahoo!
2009-06-15 10:02 . 2009-06-15 10:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-06-11 19:29 . 2009-06-18 16:28 102475 ----a-w- c:\windows\DIIUnin.dat
2009-06-11 19:29 . 2009-06-18 16:16 2829 ----a-w- c:\windows\DIIUnin.pif
2009-06-11 19:29 . 2009-06-18 16:16 102400 ----a-w- c:\windows\DIIUnin.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-09 10:29 . 2009-05-08 09:54 94132 ----a-w- c:\windows\system32\perfc007.dat
2009-07-09 10:29 . 2009-05-08 09:54 483646 ----a-w- c:\windows\system32\perfh007.dat
2009-07-09 05:21 . 2009-05-13 15:20 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Skype
2009-07-09 05:21 . 2009-05-24 08:10 1 ----a-w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-09 05:13 . 2009-05-13 15:21 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\skypePM
2009-07-08 12:04 . 2009-05-30 09:29 -------- d-----w- c:\programme\JumpRadio Player
2009-07-08 05:02 . 2009-05-13 15:13 -------- d-----w- c:\programme\Xfire
2009-07-07 12:37 . 2009-05-13 15:13 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Xfire
2009-07-06 17:15 . 2009-05-08 09:23 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp
2009-07-04 12:39 . 2009-05-30 17:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2009-06-23 19:11 . 2009-05-14 14:39 -------- d-----w- c:\programme\Diablo II
2009-06-21 18:41 . 2009-05-13 19:57 321696 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-06-21 14:18 . 2009-05-22 09:30 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Hamachi
2009-06-20 20:28 . 2009-05-08 09:23 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-06-18 19:01 . 2009-05-13 16:43 -------- d-----w- c:\programme\Warcraft III
2009-06-18 16:49 . 2009-05-08 09:20 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-18 16:27 . 2009-05-14 14:53 21840 ----atw- c:\windows\system32\SIntfNT.dll
2009-06-18 16:27 . 2009-05-14 14:53 17212 ----atw- c:\windows\system32\SIntf32.dll
2009-06-18 16:27 . 2009-05-14 14:53 12067 ----atw- c:\windows\system32\SIntf16.dll
2009-06-18 04:59 . 2009-06-18 04:59 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2009-06-18 04:59 . 2009-05-11 12:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Logitech
2009-06-15 10:03 . 2009-05-13 17:09 -------- d-----w- c:\programme\iTunes
2009-06-14 16:31 . 2009-05-13 15:09 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\ICQ
2009-06-14 09:40 . 2009-05-13 17:12 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\teamspeak2
2009-06-06 12:34 . 2009-06-06 12:32 -------- d-----w- c:\programme\glassfish-v2ur2
2009-06-06 12:33 . 2009-06-06 12:30 -------- d-----w- c:\programme\NetBeans 6.5
2009-06-06 12:33 . 2009-06-06 12:33 -------- d-----w- c:\programme\glassfish-v3-prelude
2009-06-06 12:28 . 2009-05-11 12:27 -------- d-----w- c:\programme\Java
2009-06-06 12:28 . 2009-06-03 15:35 152576 ----a-w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-06 12:27 . 2009-06-06 12:27 -------- d-----w- c:\programme\Sun
2009-06-06 12:27 . 2009-05-11 12:27 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-06-06 12:15 . 2009-06-06 11:04 -------- d-----w- c:\programme\THQ
2009-06-06 11:57 . 2009-05-08 09:15 16888 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-06 11:30 . 2009-06-06 11:30 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\SeventhDigit
2009-06-06 11:18 . 2009-06-06 11:18 -------- d-----w- c:\programme\MulitKey
2009-06-06 10:50 . 2009-06-06 10:50 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2009-06-04 17:38 . 2009-06-03 16:00 -------- d-----w- c:\programme\Reversi
2009-06-01 09:38 . 2009-06-01 09:38 -------- d-----w- c:\programme\Hero Editor
2009-06-01 09:38 . 2009-06-01 08:21 249856 ------w- c:\windows\Setup1.exe
2009-06-01 09:38 . 2009-06-01 08:21 73216 ----a-w- c:\windows\ST6UNST.EXE
2009-05-30 17:24 . 2009-05-30 14:55 -------- d-----w- c:\programme\TmNationsForever
2009-05-30 09:29 . 2009-05-30 09:29 65536 ----a-r- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Microsoft\Installer\{D13245CE-364E-4686-AD13-180FA1AC923F}\jumpplayer.exe_EC8D0E3C15AE4C7AA4E42602E13534B3.exe
2009-05-30 09:29 . 2009-05-30 09:29 10134 ----a-r- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Microsoft\Installer\{D13245CE-364E-4686-AD13-180FA1AC923F}\ARPPRODUCTICON.exe
2009-05-29 17:05 . 2009-05-29 17:05 0 ----a-w- c:\windows\nsreg.dat
2009-05-24 10:40 . 2009-05-24 10:40 23558 ----a-r- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Microsoft\Installer\{437C19B3-7E20-4E39-B868-CA6BAA820E1C}\_294823.exe
2009-05-24 10:40 . 2009-05-24 10:40 23558 ----a-r- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Microsoft\Installer\{437C19B3-7E20-4E39-B868-CA6BAA820E1C}\_18be6784.exe
2009-05-24 10:40 . 2009-05-24 10:40 -------- d-----w- c:\programme\Microsoft Rechner-Plus
2009-05-24 08:30 . 2009-05-24 08:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2009-05-24 08:30 . 2009-05-24 08:27 -------- d-----w- c:\programme\Canon
2009-05-24 08:28 . 2009-05-24 08:28 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2009-05-24 08:28 . 2009-05-24 08:28 -------- d--h--w- c:\programme\CanonBJ
2009-05-24 08:10 . 2009-05-24 08:10 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\OpenOffice.org
2009-05-24 08:10 . 2009-05-24 08:08 -------- d-----w- c:\programme\OpenOffice.org 3
2009-05-24 08:08 . 2009-05-24 08:08 -------- d-----w- c:\programme\JRE
2009-05-24 08:02 . 2009-05-24 08:02 -------- d-----w- c:\programme\redist
2009-05-24 08:02 . 2009-05-24 08:02 -------- d-----w- c:\programme\readmes
2009-05-24 08:02 . 2009-05-24 08:02 -------- d-----w- c:\programme\licenses
2009-05-22 09:30 . 2009-05-22 09:30 -------- d-----w- c:\programme\Hamachi
2009-05-22 09:30 . 2009-05-22 09:30 25280 ----a-w- c:\windows\system32\drivers\hamachi.sys
2009-05-21 10:32 . 2009-06-06 13:08 847360 ----a-w- c:\windows\system32\JS32.dll
2009-05-17 09:04 . 2009-05-17 09:04 10134 ----a-r- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2009-05-16 22:36 . 2009-05-13 17:17 -------- d-----w- c:\programme\World of Warcraft
2009-05-16 14:08 . 2009-05-16 14:08 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\vlc
2009-05-16 14:08 . 2009-05-16 14:08 -------- d-----w- c:\programme\VCL
2009-05-16 14:00 . 2009-05-13 17:09 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Apple Computer
2009-05-14 19:50 . 2009-05-13 15:02 -------- d-----w- c:\programme\Google
2009-05-14 05:31 . 2009-05-14 05:30 -------- d-----w- c:\programme\Counter-Strike Source
2009-05-13 19:57 . 2009-05-13 19:57 -------- d-----w- c:\programme\RocketDock
2009-05-13 19:47 . 2009-05-13 19:38 -------- d-----w- c:\programme\Microsoft Games for Windows - LIVE
2009-05-13 19:40 . 2009-05-13 19:40 -------- d--h--r- c:\dokumente und einstellungen\Funke\Anwendungsdaten\SecuROM
2009-05-13 17:12 . 2009-05-13 17:11 -------- d-----w- c:\programme\Teamspeak2_RC2
2009-05-13 17:09 . 2009-05-13 17:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-05-13 17:09 . 2009-05-13 17:09 -------- d-----w- c:\programme\iPod
2009-05-13 17:09 . 2009-05-13 17:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-05-13 17:09 . 2009-05-13 17:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-05-13 17:09 . 2009-05-13 17:09 -------- d-----w- c:\programme\Bonjour
2009-05-13 17:09 . 2009-05-13 17:08 -------- d-----w- c:\programme\QuickTime
2009-05-13 17:09 . 2009-05-13 16:55 -------- d-----w- c:\programme\Valve
2009-05-13 17:08 . 2009-05-13 17:08 -------- d-----w- c:\programme\Apple Software Update
2009-05-13 17:08 . 2009-05-13 17:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-05-13 16:44 . 2009-05-13 16:44 -------- d-----w- c:\programme\Tetris
2009-05-13 16:15 . 2009-05-13 16:15 -------- d-----w- c:\programme\Pokemon Game
2009-05-13 15:59 . 2009-05-13 15:59 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Xfire
2009-05-13 15:47 . 2009-05-13 15:47 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Windows Search
2009-05-13 15:39 . 2009-05-13 15:39 -------- d-----w- c:\programme\CCleaner
2009-05-13 15:21 . 2009-05-13 15:21 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-05-13 15:19 . 2009-05-13 15:19 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-05-13 15:19 . 2009-05-13 15:19 -------- d-----r- c:\programme\Skype
2009-05-13 15:19 . 2009-05-13 15:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-05-13 15:15 . 2009-05-13 15:08 -------- d-----w- c:\programme\ICQ6.5
2009-05-13 15:14 . 2009-05-13 15:14 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Xfire
2009-05-13 15:09 . 2009-05-13 15:09 -------- d-----w- c:\programme\ICQ6Toolbar
2009-05-13 15:09 . 2009-05-13 15:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-05-11 12:50 . 2009-05-11 12:50 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2009-05-11 12:50 . 2009-05-11 12:50 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-05-11 12:50 . 2009-05-11 12:47 -------- d-----w- c:\programme\Logitech
2009-05-11 12:49 . 2009-05-11 12:49 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\Logitech
2009-05-11 12:49 . 2009-05-11 12:49 -------- d-----w- c:\programme\Gemeinsame Dateien\LogiShared
2009-05-11 12:47 . 2009-05-11 12:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2009-05-11 12:47 . 2009-05-11 12:47 -------- d-----w- c:\dokumente und einstellungen\Funke\Anwendungsdaten\InstallShield
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ccleaner"="c:\programme\CCleaner\CCleaner.exe" [2009-05-07 1561840]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-06-20 198160]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-03-27 1657376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2009-04-10 17879552]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-12-18 76304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-02-18 22:30 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Xfire\\Xfire.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"c:\\Programme\\Rockstar Games\\GTA IV\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\GTA IV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\GTA IV\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Dokumente und Einstellungen\\Funke\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Counter-Strike Source\\hl2.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.07.2009 15:36 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [13.05.2009 17:09 222456]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [06.07.2009 15:52 604416]
R3 allkeys01;allkeys01;c:\windows\system32\drivers\allkeys01.sys [06.06.2009 13:30 15056]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [08.05.2009 11:24 1684736]
S3 cpuz131;cpuz131;\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\cpuz131\cpuz_x32.sys --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\cpuz131\cpuz_x32.sys [?]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DFBFC170-D204-BD90-78F6-E1FD1552A04C}]
c:\windows\winupd.exe
.
Inhalt des "geplante Tasks" Ordners
2009-07-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 12:39]
2009-07-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1803161221-2311055488-3696323610-1005Core.job
- c:\dokumente und einstellungen\Funke\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-05-15 05:16]
2009-07-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1803161221-2311055488-3696323610-1005UA.job
- c:\dokumente und einstellungen\Funke\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-05-15 05:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Funke\Anwendungsdaten\Mozilla\Firefox\Profiles\fcazd595.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\dokumente und einstellungen\Funke\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-09 12:29
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f1,dc,82,d1,fd,2f,8d,44,aa,39,32,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f1,dc,82,d1,fd,2f,8d,44,aa,39,32,\
[HKEY_USERS\S-1-5-21-1803161221-2311055488-3696323610-1005\Software\SecuROM\License information*]
"datasecu"=hex:13,55,c3,b8,b5,92,63,21,71,ae,7f,6a,25,b6,9e,0b,fd,e5,39,e3,bd,
8a,0e,43,5c,9f,24,a9,e9,54,0b,d5,69,cd,e8,e8,03,f2,5b,6d,a7,a0,6e,94,a3,31,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(784)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2009-07-09 12:30
ComboFix-quarantined-files.txt 2009-07-09 10:30
Vor Suchlauf: 11 Verzeichnis(se), 418.414.727.168 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 418.519.244.800 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
295 --- E O F --- 2009-05-13 14:56
LG Nelson |
|
| Themen zu Recycler konnte nicht gefunden werden, wenn man auf die Festplatte klickt?!? |
| .com, antivir, avira, avira antivir, chip, combofix, computer, datei, desinfizieren, festplatte, foren, forum, gen, google, kaspersky, klick, klicke, namen, nicht gefunden, nicht öffnen, recycler, seite, seiten, spybot, start, suche, virus, öffnen |
Hybrid-Darstellung
