| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32.delf.uc Trojaner eingefangenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.07.2009, 19:36
| #1 |
 |  Win32.delf.uc Trojaner eingefangen Hi, habe mir den win32.delf.uc Trojaner auf meinem Laptop eingefangen.  Er hat sich der Registry von c:/windows/system32/winlogon.exe eingenistet (laut spybot).Habe sofort die Internetverbindung gekappt. Ich habe schon in manchen Threads gelesen, dass man den nur durch eine Neuinstallation sicher wegbekommt.  Ich habe 2 Partitionen auf einer Festplatte. Jetzt weiß ich nicht, in wiefern ich Daten von c: auf d: pacvken, ohne dass auch d: infiziert wird. Ich will auch komplette java-projekte retten, oder sind die auch möglicherweise infiziert?? Außerdem habe ich auch nicht installierte Programme als exe-Dateien und bereits installierte Spiele auf d:, heißt das, dass diese auch infiziert sein können? Kann mir jemand vielleicht eine sichere Vorgehensweise nennen?? Ich habe mir gedacht, alles auf d: zu kopieren. Windows neu aufsetzen und anschließend mit Spybot, DrWeb usw. d: überprüfen. Falls irgendwas gefunden wird, dann wirklich nur sichere Sachen (Filme, Fotos und Musik) auf externe Festplatten retten und alles nochmal neuformatieren. Wäre das ok?? gruss und danke im voraus michdura |
|
07.07.2009, 20:33
| #2 |
| /// Helfer-Team    | Win32.delf.uc Trojaner eingefangen hi
__________________1. ich würde an deiner Stelle zuerst mal mein System mit div Tools durchsuchen und v. Schädlinge befreien oder 2. Boot-CDs - Live-System wie z.B:
dann formatieren, Windows neu installieren vorher Daten sichern |
|
08.07.2009, 06:49
| #3 |
| | Win32.delf.uc Trojaner eingefangen Danke für die Antwort,
__________________ich habe das zum Teil schon gemacht, also im abgesicherten modus (mit abgeschalteter Wiederherstellungskonsole) alles mit spybot s&d durchsucht und gelöscht. Meine Frage war mehr zur Datensicherung: "Ich habe 2 Partitionen auf einer Festplatte. Jetzt weiß ich nicht, in wiefern ich Daten von c: auf d: packen, ohne dass auch d: infiziert wird. Ich will auch komplette java-projekte retten, oder sind die auch möglicherweise infiziert?? Außerdem habe ich auch nicht installierte Programme als exe-Dateien und bereits installierte Spiele auf d:, heißt das, dass diese auch infiziert sein können?" |
|
08.07.2009, 09:34
| #4 |
| | Win32.delf.uc Trojaner eingefangen hi hm wen du nicht wils das d von möglicher weise infizirten datain vonc kommt dan würde ich das so machen den da müste Avira oder ZoneArlarm rummeckern wen es was findet die daten von c auf eine externe festplatte machen dan von der externen festplatte die datein auf d schiben anderseits kan es sein das d schon längst infizirt ist MFG Andy |
|
08.07.2009, 10:38
| #5 | |
| | Win32.delf.uc Trojaner eingefangen Also avira konnte ich nicht installieren, da hat er mir gesagt, dass eine install datei vom virus angefallen wurde... ich habe da norman drauf. also wenn ich das richtig verstehe, können ausführbare daten (sprich exe-Installationsdateien von z.b. winrar, firefox usw.) auf d auch vom trojaner befallen sein?? Nochmal: Zitat:
|
|
09.07.2009, 10:40
| #6 |
| /// Helfer-Team | Win32.delf.uc Trojaner eingefangen hi - es gibt ja `Einige Schädlingsarten` die es locker schaffen  - aus der Ferne schwer zu beurteilen, wir wissen auch nicht mal um welche Infektion es sich handelt? - eigentliche frage ist, ob die Die Systemdatei C:\WINDOWS\system32\winlogon.exe befallen ist? Falls ja, darf nicht gelöscht werden, ansonsten Ohne winlogon.exe startet das System nicht mehr auch nicht in den abgesicherten Modus! Damit wir deine Frage beantworten können, brauchen wir noch mehr Angaben: - Anweisungen bitte gründlich lesen und streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte- und Systemdateien sichtbar machen:: 1. Klicke unter Start auf Arbeitsplatz. 2. Klicke im Menü Extras auf Ordneroptionen. 3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen 4. Geschützte und Systemdateien ausblenden --> Haken entfernen 5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. - Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. - lade Dir das filelist.zip auf deinen Desktop herunter - entpacke die Zip-Datei auf deinen Desktop - starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen - kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)-> starten-> unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)-> weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir GMER und F-Secure einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5.
am besten nutze den Code-Tags für deinen Post: vor dein log schreibst du:[code] hier kommt dein logfile rein dahinter:[/code] |
|
09.07.2009, 21:58
| #7 |
| | Win32.delf.uc Trojaner eingefangen hier einmal das Ergebniss von filelist: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: E077-17AD
Verzeichnis von C:\
09.07.2009 19:08 43 filelist.txt
09.07.2009 18:58 2.145.386.496 pagefile.sys
22.06.2009 20:20 211 boot.ini
14.11.2008 11:48 14 protokoll.txt
13 Datei(en) 2.145.715.516 Bytes
0 Verzeichnis(se), 7.918.571.520 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: E077-17AD
Verzeichnis von C:\WINDOWS
09.07.2009 18:59 0 0.log
09.07.2009 18:59 50 wiaservc.log
09.07.2009 18:59 159 wiadebug.log
09.07.2009 18:58 2.048 bootstat.dat
07.07.2009 06:33 1.569.015 WindowsUpdate.log
06.07.2009 22:30 457.270 ntbtlog.txt
06.07.2009 21:32 2.726 OEWABLog.txt
06.07.2009 21:32 35.083 wmsetup.log
05.07.2009 18:32 997.588 EventSystem.log
05.07.2009 12:01 38.400 pp10.exe
05.07.2009 12:01 1 934fdfg34fgjf23
05.07.2009 12:01 2 0101120101464849.dat
05.07.2009 12:01 2 010112010146118114.dat
02.07.2009 16:31 407.026 setupapi.log
22.06.2009 20:20 1.058 win.ini
22.06.2009 20:20 227 system.ini
09.06.2009 08:28 615 setupact.log
21.05.2009 22:35 69 NeroDigital.ini
08.05.2009 10:17 7.680 Thumbs.db
24.04.2009 08:20 5.465.182 OracleDatabaseXEServerInstall.log
09.11.2008 16:09 557 wmsetup10.log
224 Datei(en) 27.354.993 Bytes
0 Verzeichnis(se), 7.918.559.232 Bytes frei
----- System ---
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: E077-17AD
Verzeichnis von C:\WINDOWS\system
04.08.2004 14:00 70.368 AVICAP.DLL
04.08.2004 14:00 109.504 AVIFILE.DLL
04.08.2004 14:00 33.744 COMMDLG.DLL
04.08.2004 14:00 2.000 KEYBOARD.DRV
04.08.2004 14:00 9.936 LZEXPAND.DLL
04.08.2004 14:00 73.760 MCIAVI.DRV
04.08.2004 14:00 25.296 MCISEQ.DRV
04.08.2004 14:00 28.160 MCIWAVE.DRV
04.08.2004 14:00 69.632 MMSYSTEM.DLL
04.08.2004 14:00 1.152 MMTASK.TSK
04.08.2004 14:00 2.032 MOUSE.DRV
04.08.2004 14:00 127.104 MSVIDEO.DLL
04.08.2004 14:00 82.944 OLECLI.DLL
04.08.2004 14:00 24.064 OLESVR.DLL
04.08.2004 14:00 59.167 setup.inf
04.08.2004 14:00 5.120 SHELL.DLL
04.08.2004 14:00 1.744 SOUND.DRV
04.08.2004 14:00 5.532 stdole.tlb
04.08.2004 14:00 3.360 SYSTEM.DRV
04.08.2004 14:00 19.200 TAPI.DLL
04.08.2004 14:00 4.048 TIMER.DRV
04.08.2004 14:00 9.200 VER.DLL
04.08.2004 14:00 2.176 VGA.DRV
04.08.2004 14:00 13.600 WFWNET.DRV
04.08.2004 14:00 146.944 WINSPOOL.DRV
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 7.918.559.232 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: E077-17AD
Verzeichnis von C:\WINDOWS\system32
09.07.2009 18:58 2.206 wpa.dbl
06.07.2009 21:32 15.000 grffr83hn.dll
21.05.2009 10:06 395.534 perfh009.dat
21.05.2009 10:06 59.774 perfc009.dat
21.05.2009 10:06 409.202 perfh007.dat
21.05.2009 10:06 71.986 perfc007.dat
21.05.2009 10:06 940.864 PerfStringBackup.INI
24.04.2009 08:29 5.120 Thumbs.db
16.04.2009 22:13 148.888 javaws.exe
16.04.2009 22:13 144.792 java.exe
16.04.2009 22:13 144.792 javaw.exe
16.04.2009 22:13 73.728 javacpl.cpl
16.04.2009 22:13 410.984 deploytk.dll
15.04.2009 22:24 90.112 dpl100.dll
15.04.2009 22:24 823.296 divx_xx0c.dll
15.04.2009 22:24 684.032 DivX.dll
15.04.2009 22:24 815.104 divx_xx0a.dll
15.04.2009 22:24 823.296 divx_xx07.dll
15.04.2009 22:24 802.816 divx_xx11.dll
19.10.2008 23:04 323.520 FNTCACHE.DAT
2101 Datei(en) 431.368.536 Bytes
0 Verzeichnis(se), 7.918.379.008 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: E077-17AD
Verzeichnis von C:\WINDOWS\Prefetch
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: E077-17AD
Verzeichnis von C:\WINDOWS\tasks
06.10.2007 10:20 6 SA.DAT
04.08.2004 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 7.918.456.832 Bytes frei
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: E077-17AD
Verzeichnis von C:\WINDOWS\Temp
09.07.2009 18:59 16.384 Perflib_Perfdata_2b8.dat
06.07.2009 22:02 160 wausdkmfi83w7tayfghbjdf.tmp
06.07.2009 21:48 160 askefhaw987ryhjinfd.tmp
3 Datei(en) 16.704 Bytes
0 Verzeichnis(se), 7.918.456.832 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: E077-17AD
Verzeichnis von C:\DOKUME~1\root\LOKALE~1\Temp
09.07.2009 19:04 401 jusched.log
09.07.2009 18:59 160 wausdkmfi83w7tayfghbjdf.tmp
05.07.2009 11:42 56.832 ergebnisliste_II_quartal_2009aaaaa.xls
22.06.2009 20:31 3.840 20090622_5fd286ef971606f7e6b05ab1f9e3b410_1.ccf
22.06.2009 20:30 2.800 229764-bc3f3wld.ccf
10.06.2009 19:19 136.866 xxx773_20090607.pdf
07.06.2009 23:13 30.720 Klausurenplan_HFW407_4HQ.doc
05.04.2009 13:41 4.592.128 UNKNOWN_PARAMETER_VALUE.ppt
26.03.2009 21:32 2.128 e7fdc6ce54.ccf
05.01.2009 19:24 70.656 ergebnisliste_IV_quartal_2008aa-2.xls
05.01.2009 16:09 70.656 ergebnisliste_IV_quartal_2008aa-1.xls
22.10.2008 10:48 55.988 NokiaStandard.otf
14 Datei(en) 9.558.124 Bytes
0 Verzeichnis(se), 7.918.452.736 Bytes frei
|
|
09.07.2009, 22:00
| #8 |
| | Win32.delf.uc Trojaner eingefangen CCleaner: Code:
ATTFilter Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Reader 8.1.4 - Deutsch
Adobe Shockwave Player 11.5
Apple Mobile Device Support
Apple Software Update
Ashampoo WinOptimizer 4.50
Broadcom 440x 10/100 Integrated Controller
CCleaner (remove only)
CloneCD
Command & Conquer Generals
Command and Conquer(TM) Generäle Die Stunde Null
Conexant HDA D110 MDC V.92 Modem
Dell Wireless WLAN Card
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
DVD Shrink 3.2
FLV Player X 1.1
Free YouTube to Mp3 Converter version 3.1
Hamachi 1.0.2.5
High Definition Audio Driver Package - KB835221
hp LaserJet 1150 / 1300
ICQ6
iDump (Build: 28)
Intel(R) Graphics Media Accelerator Driver
Intel(R) PROSet/Wireless Software
iTunes
Java DB 10.2.2.0
Java(TM) 6 Update 13
Java(TM) 6 Update 2
Java(TM) SE Development Kit 6 Update 2
JUDE Community 5.4.1
Microsoft – Speichern als PDF – Add-In für 2007 Microsoft Office-Programme
Microsoft .NET Framework 2.0
Microsoft Office Enterprise 2007
Microsoft Office XP Professional mit FrontPage
Microsoft SQL Server 2005 Compact Edition [ENU]
Mozilla Firefox (3.0.11)
MSXML 4.0 SP2 (KB936181)
Nero 8
Nokia Connectivity Cable Driver
Nokia PC Suite
Norman Virus Control
Oracle Data Provider for .NET Help
Oracle Database 10g Express Edition
OZ776 SCR CardBus Windows Driver
PC Connectivity Solution
Picasa 2
QuickTime
RouterControl 1.85
SigmaTel Audio
Skype™ 3.8
Spybot - Search & Destroy
Uninstall 1.0.0.1
VeohTV BETA
VLC media player 0.9.4
VT_Driver_Setup_MutiLang
Warcraft III: All Products
Warlords Battlecry II
Windows Driver Package - Nokia (WUDFRd) WPD (03/19/2007 6.83.31.1)
Windows Driver Package - Nokia Modem (02/15/2007 3.1)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Anmelde-Assistent
Windows Live Fotogalerie
Windows Live installer
Windows Live Messenger
Windows Live Writer
Windows Media Player Firefox Plugin
Windows-Treiberpaket - Nokia Modem (11/03/2006 6.82.0.1)
WinRAR
XAMPP 1.6.8
xp-AntiSpy 3.96-6
|
|
09.07.2009, 22:04
| #9 |
| | Win32.delf.uc Trojaner eingefangen Gmer logfile Teil 1: Code:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-09 22:00:47
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
INT 0x62 ? 89E45BF8
INT 0x82 ? 89E45BF8
INT 0x84 ? 89C98E90
INT 0x94 ? 89C98E90
INT 0xA4 ? 89C98E90
---- Kernel code sections - GMER 1.0.15 ----
? spgu.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload BA13862C 5 Bytes JMP 89C98470
.text aqbja81v.SYS BA087384 1 Byte [20]
.text aqbja81v.SYS BA087384 37 Bytes [20, 00, 00, 68, 00, 00, 00, ...]
.text aqbja81v.SYS BA0873AA 24 Bytes [00, 00, 20, 00, 00, E0, 00, ...]
.text aqbja81v.SYS BA0873C4 3 Bytes [00, 00, 00]
.text aqbja81v.SYS BA0873C9 1 Byte [00]
.text ...
? C:\WINDOWS\system32\Drivers\mchInjDrv.sys Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\igfxsrvc.exe[136] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\igfxsrvc.exe[136] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\igfxsrvc.exe[136] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\igfxsrvc.exe[136] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\igfxsrvc.exe[136] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\igfxsrvc.exe[136] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\igfxsrvc.exe[136] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 01110001
.text C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe[244] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe[244] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe[244] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe[244] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe[244] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe[244] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\IoctlSvc.exe[272] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\IoctlSvc.exe[272] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\IoctlSvc.exe[272] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\IoctlSvc.exe[272] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\IoctlSvc.exe[272] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\IoctlSvc.exe[272] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Intel\Wireless\Bin\RegSrvc.exe[276] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Intel\Wireless\Bin\RegSrvc.exe[276] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Intel\Wireless\Bin\RegSrvc.exe[276] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Intel\Wireless\Bin\RegSrvc.exe[276] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Intel\Wireless\Bin\RegSrvc.exe[276] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Intel\Wireless\Bin\RegSrvc.exe[276] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text c:\xampp\apache\bin\apache.exe[392] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text c:\xampp\apache\bin\apache.exe[392] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text c:\xampp\apache\bin\apache.exe[392] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text c:\xampp\apache\bin\apache.exe[392] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text c:\xampp\apache\bin\apache.exe[392] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text c:\xampp\apache\bin\apache.exe[392] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\svchost.exe[400] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\svchost.exe[400] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\svchost.exe[400] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\svchost.exe[400] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\svchost.exe[400] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\svchost.exe[400] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\wdfmgr.exe[452] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\wdfmgr.exe[452] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\wdfmgr.exe[452] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\wdfmgr.exe[452] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\wdfmgr.exe[452] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\wdfmgr.exe[452] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\hkcmd.exe[676] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\hkcmd.exe[676] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\hkcmd.exe[676] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\hkcmd.exe[676] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\hkcmd.exe[676] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\hkcmd.exe[676] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\hkcmd.exe[676] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00FF0001
.text C:\WINDOWS\system32\igfxpers.exe[684] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\igfxpers.exe[684] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\igfxpers.exe[684] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\igfxpers.exe[684] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\igfxpers.exe[684] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\igfxpers.exe[684] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\igfxpers.exe[684] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00F70001
.text C:\WINDOWS\system32\WLTRAY.exe[692] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\WLTRAY.exe[692] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\WLTRAY.exe[692] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\WLTRAY.exe[692] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\WLTRAY.exe[692] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\WLTRAY.exe[692] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\WLTRAY.exe[692] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 01040001
.text C:\WINDOWS\system32\WLTRAY.exe[692] WS2_32.dll!htons 71A12B66 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\WLTRAY.exe[692] WS2_32.dll!connect 71A1406A 6 Bytes JMP 5F130F5A
.text C:\WINDOWS\system32\WLTRAY.exe[692] WS2_32.dll!WSAEventSelect 71A14573 6 Bytes JMP 5F1F0F5A
.text C:\WINDOWS\system32\WLTRAY.exe[692] WS2_32.dll!WSAGetLastError + 2 71A194DE 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\WINDOWS\system32\WLTRAY.exe[692] WS2_32.dll!closesocket 71A19639 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\WLTRAY.exe[692] WS2_32.dll!WSAAsyncSelect 71A20979 6 Bytes JMP 5F1C0F5A
.text C:\WINDOWS\system32\WLTRAY.exe[692] WS2_32.dll!WSAConnect 71A20C69 6 Bytes JMP 5F190F5A
.text C:\WINDOWS\system32\WLTRAY.exe[692] WS2_32.dll!WSAAccept 71A20DA9 6 Bytes JMP 5F160F5A
.text C:\WINDOWS\system32\WLTRAY.exe[692] WS2_32.dll!accept 71A21028 6 Bytes JMP 5F100F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[696] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Java\jre6\bin\jqs.exe[696] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Java\jre6\bin\jqs.exe[696] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Java\jre6\bin\jqs.exe[696] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Java\jre6\bin\jqs.exe[696] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Java\jre6\bin\jqs.exe[696] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\xampp\mysql\bin\mysqld-nt.exe[732] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\xampp\mysql\bin\mysqld-nt.exe[732] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\xampp\mysql\bin\mysqld-nt.exe[732] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\xampp\mysql\bin\mysqld-nt.exe[732] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\xampp\mysql\bin\mysqld-nt.exe[732] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\xampp\mysql\bin\mysqld-nt.exe[732] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 01990001
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] WS2_32.dll!htons 71A12B66 6 Bytes JMP 5F040F5A
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] WS2_32.dll!connect 71A1406A 6 Bytes JMP 5F130F5A
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] WS2_32.dll!WSAEventSelect 71A14573 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] WS2_32.dll!WSAGetLastError + 2 71A194DE 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] WS2_32.dll!closesocket 71A19639 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] WS2_32.dll!WSAAsyncSelect 71A20979 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] WS2_32.dll!WSAConnect 71A20C69 6 Bytes JMP 5F190F5A
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] WS2_32.dll!WSAAccept 71A20DA9 6 Bytes JMP 5F160F5A
.text C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe[744] WS2_32.dll!accept 71A21028 6 Bytes JMP 5F100F5A
.text C:\windows\pp10.exe[812] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\windows\pp10.exe[812] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\windows\pp10.exe[812] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\windows\pp10.exe[812] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\windows\pp10.exe[812] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\windows\pp10.exe[812] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\windows\pp10.exe[812] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 003E0001
.text C:\windows\pp10.exe[812] ws2_32.dll!htons 71A12B66 6 Bytes JMP 5F0A0F5A
.text C:\windows\pp10.exe[812] ws2_32.dll!connect 71A1406A 6 Bytes JMP 5F160F5A
.text C:\windows\pp10.exe[812] ws2_32.dll!WSAEventSelect 71A14573 6 Bytes JMP 5F1F0F5A
.text C:\windows\pp10.exe[812] ws2_32.dll!WSAGetLastError + 2 71A194DE 4 Bytes [1E, 00, 0E, 5F] {PUSH DS; ADD [ESI], CL; POP EDI}
.text C:\windows\pp10.exe[812] ws2_32.dll!closesocket 71A19639 6 Bytes JMP 5F100F5A
.text C:\windows\pp10.exe[812] ws2_32.dll!WSAAsyncSelect 71A20979 6 Bytes JMP 5F070F5A
.text C:\windows\pp10.exe[812] ws2_32.dll!WSAConnect 71A20C69 6 Bytes JMP 5F1C0F5A
.text C:\windows\pp10.exe[812] ws2_32.dll!WSAAccept 71A20DA9 6 Bytes JMP 5F190F5A
.text C:\windows\pp10.exe[812] ws2_32.dll!accept 71A21028 6 Bytes JMP 5F130F5A
.text C:\WINDOWS\system32\winlogon.exe[864] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FF9484E
.text C:\WINDOWS\system32\winlogon.exe[864] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FF948DD
.text C:\WINDOWS\system32\winlogon.exe[864] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FF948EA
.text C:\WINDOWS\system32\winlogon.exe[864] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FF94B6E
.text C:\WINDOWS\system32\winlogon.exe[864] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FF948D3
.text C:\WINDOWS\system32\winlogon.exe[864] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FF9492B
.text C:\WINDOWS\system32\services.exe[908] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FF9484E
.text C:\WINDOWS\system32\services.exe[908] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FF948DD
.text C:\WINDOWS\system32\services.exe[908] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FF948EA
.text C:\WINDOWS\system32\services.exe[908] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FF94B6E
.text C:\WINDOWS\system32\services.exe[908] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FF948D3
.text C:\WINDOWS\system32\services.exe[908] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FF9492B
.text C:\WINDOWS\system32\lsass.exe[920] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FF9484E
.text C:\WINDOWS\system32\lsass.exe[920] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FF948DD
.text C:\WINDOWS\system32\lsass.exe[920] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FF948EA
.text C:\WINDOWS\system32\lsass.exe[920] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FF94B6E
.text C:\WINDOWS\system32\lsass.exe[920] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FF948D3
.text C:\WINDOWS\system32\lsass.exe[920] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FF9492B
|
|
09.07.2009, 22:05
| #10 |
| | Win32.delf.uc Trojaner eingefangen Gmer logfile Part 2: Code:
ATTFilter .text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 06FD0001
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] WS2_32.dll!htons 71A12B66 6 Bytes JMP 5F040F5A
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] WS2_32.dll!connect 71A1406A 6 Bytes JMP 5F130F5A
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] WS2_32.dll!WSAEventSelect 71A14573 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] WS2_32.dll!WSAGetLastError + 2 71A194DE 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] WS2_32.dll!closesocket 71A19639 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] WS2_32.dll!WSAAsyncSelect 71A20979 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] WS2_32.dll!WSAConnect 71A20C69 6 Bytes JMP 5F190F5A
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] WS2_32.dll!WSAAccept 71A20DA9 6 Bytes JMP 5F160F5A
.text C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe[924] WS2_32.dll!accept 71A21028 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\svchost.exe[1092] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\svchost.exe[1092] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\svchost.exe[1092] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\svchost.exe[1092] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\svchost.exe[1092] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\svchost.exe[1092] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE[1124] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE[1124] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE[1124] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE[1124] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE[1124] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE[1124] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\svchost.exe[1168] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\svchost.exe[1168] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\svchost.exe[1168] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\svchost.exe[1168] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\svchost.exe[1168] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\svchost.exe[1168] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\System32\svchost.exe[1208] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FF9484E
.text C:\WINDOWS\System32\svchost.exe[1208] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FF948DD
.text C:\WINDOWS\System32\svchost.exe[1208] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FF948EA
.text C:\WINDOWS\System32\svchost.exe[1208] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FF94B6E
.text C:\WINDOWS\System32\svchost.exe[1208] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FF948D3
.text C:\WINDOWS\System32\svchost.exe[1208] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FF9492B
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00D60001
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ws2_32.dll!htons 71A12B66 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ws2_32.dll!connect 71A1406A 6 Bytes JMP 5F160F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ws2_32.dll!WSAEventSelect 71A14573 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ws2_32.dll!WSAGetLastError + 2 71A194DE 4 Bytes [1E, 00, 0E, 5F] {PUSH DS; ADD [ESI], CL; POP EDI}
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ws2_32.dll!closesocket 71A19639 6 Bytes JMP 5F100F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ws2_32.dll!WSAAsyncSelect 71A20979 6 Bytes JMP 5F070F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ws2_32.dll!WSAConnect 71A20C69 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ws2_32.dll!WSAAccept 71A20DA9 6 Bytes JMP 5F190F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1256] ws2_32.dll!accept 71A21028 6 Bytes JMP 5F130F5A
.text C:\Programme\Norman\Npm\bin\ZLH.EXE[1260] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\Npm\bin\ZLH.EXE[1260] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\Npm\bin\ZLH.EXE[1260] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\Npm\bin\ZLH.EXE[1260] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\Npm\bin\ZLH.EXE[1260] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\Npm\bin\ZLH.EXE[1260] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Intel\Wireless\Bin\EvtEng.exe[1280] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Intel\Wireless\Bin\EvtEng.exe[1280] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Intel\Wireless\Bin\EvtEng.exe[1280] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Intel\Wireless\Bin\EvtEng.exe[1280] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Intel\Wireless\Bin\EvtEng.exe[1280] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Intel\Wireless\Bin\EvtEng.exe[1280] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe[1312] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe[1312] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe[1312] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe[1312] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe[1312] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe[1312] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe[1312] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00FA0001
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 003C0001
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes CALL 7170003D
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] WS2_32.dll!htons 71A12B66 6 Bytes JMP 5F0A0F5A
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] WS2_32.dll!connect 71A1406A 6 Bytes JMP 5F160F5A
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] WS2_32.dll!WSAEventSelect 71A14573 6 Bytes JMP 5F1F0F5A
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] WS2_32.dll!WSAGetLastError + 2 71A194DE 4 Bytes [1E, 00, 0E, 5F] {PUSH DS; ADD [ESI], CL; POP EDI}
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] WS2_32.dll!closesocket 71A19639 6 Bytes JMP 5F100F5A
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] WS2_32.dll!WSAAsyncSelect 71A20979 6 Bytes JMP 5F070F5A
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] WS2_32.dll!WSAConnect 71A20C69 6 Bytes JMP 5F1C0F5A
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] WS2_32.dll!WSAAccept 71A20DA9 6 Bytes JMP 5F190F5A
.text C:\Dokumente und Einstellungen\root\Desktop\l3ehjckc.exe[1328] WS2_32.dll!accept 71A21028 6 Bytes JMP 5F130F5A
.text C:\Programme\Intel\Wireless\Bin\S24EvMon.exe[1344] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Intel\Wireless\Bin\S24EvMon.exe[1344] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Intel\Wireless\Bin\S24EvMon.exe[1344] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Intel\Wireless\Bin\S24EvMon.exe[1344] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Intel\Wireless\Bin\S24EvMon.exe[1344] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Intel\Wireless\Bin\S24EvMon.exe[1344] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Intel\Wireless\Bin\WLKeeper.exe[1384] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Intel\Wireless\Bin\WLKeeper.exe[1384] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Intel\Wireless\Bin\WLKeeper.exe[1384] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Intel\Wireless\Bin\WLKeeper.exe[1384] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Intel\Wireless\Bin\WLKeeper.exe[1384] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Intel\Wireless\Bin\WLKeeper.exe[1384] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Norman\Npm\bin\ELOGSVC.EXE[1404] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\Npm\bin\ELOGSVC.EXE[1404] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\Npm\bin\ELOGSVC.EXE[1404] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\Npm\bin\ELOGSVC.EXE[1404] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\Npm\bin\ELOGSVC.EXE[1404] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\Npm\bin\ELOGSVC.EXE[1404] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.reloc C:\WINDOWS\Explorer.EXE[1444] C:\WINDOWS\Explorer.EXE section is executable [0x010FB000, 0x8800, 0xE0000040]
.reloc C:\WINDOWS\Explorer.EXE[1444] C:\WINDOWS\Explorer.EXE entry point in ".reloc" section [0x010FE8F4]
.text C:\WINDOWS\Explorer.EXE[1444] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\Explorer.EXE[1444] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\Explorer.EXE[1444] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\Explorer.EXE[1444] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\Explorer.EXE[1444] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\Explorer.EXE[1444] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1496] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1496] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1496] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1496] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1496] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1496] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\svchost.exe[1588] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\svchost.exe[1588] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\svchost.exe[1588] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\svchost.exe[1588] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\svchost.exe[1588] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\svchost.exe[1588] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\svchost.exe[1648] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\svchost.exe[1648] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\svchost.exe[1648] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\svchost.exe[1648] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\svchost.exe[1648] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\svchost.exe[1648] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\ctfmon.exe[1776] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\ctfmon.exe[1776] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\ctfmon.exe[1776] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\ctfmon.exe[1776] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\ctfmon.exe[1776] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\ctfmon.exe[1776] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\ctfmon.exe[1776] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00E10001
.text C:\WINDOWS\System32\WLTRYSVC.EXE[1884] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\System32\WLTRYSVC.EXE[1884] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\System32\WLTRYSVC.EXE[1884] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\System32\WLTRYSVC.EXE[1884] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\System32\WLTRYSVC.EXE[1884] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\System32\WLTRYSVC.EXE[1884] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\System32\bcmwltry.exe[1908] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\System32\bcmwltry.exe[1908] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
|
|
09.07.2009, 22:07
| #11 |
| | Win32.delf.uc Trojaner eingefangen Gmer logfile Part 3: Code:
ATTFilter .text C:\WINDOWS\System32\bcmwltry.exe[1908] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\System32\bcmwltry.exe[1908] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\System32\bcmwltry.exe[1908] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\System32\bcmwltry.exe[1908] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\spoolsv.exe[2008] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\spoolsv.exe[2008] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\spoolsv.exe[2008] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\spoolsv.exe[2008] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\spoolsv.exe[2008] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\spoolsv.exe[2008] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Norman\Npm\bin\NJEEVES.EXE[2160] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\Npm\bin\NJEEVES.EXE[2160] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\Npm\bin\NJEEVES.EXE[2160] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\Npm\bin\NJEEVES.EXE[2160] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\Npm\bin\NJEEVES.EXE[2160] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\Npm\bin\NJEEVES.EXE[2160] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2496] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2496] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2496] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2496] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2496] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2496] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Norman\Nvc\BIN\NIP.EXE[2856] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\Nvc\BIN\NIP.EXE[2856] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\Nvc\BIN\NIP.EXE[2856] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\Nvc\BIN\NIP.EXE[2856] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\Nvc\BIN\NIP.EXE[2856] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\Nvc\BIN\NIP.EXE[2856] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 07190001
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] WS2_32.dll!htons 71A12B66 6 Bytes JMP 5F040F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] WS2_32.dll!connect 71A1406A 6 Bytes JMP 5F130F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] WS2_32.dll!WSAEventSelect 71A14573 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] WS2_32.dll!WSAGetLastError + 2 71A194DE 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] WS2_32.dll!closesocket 71A19639 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] WS2_32.dll!WSAAsyncSelect 71A20979 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] WS2_32.dll!WSAConnect 71A20C69 6 Bytes JMP 5F190F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] WS2_32.dll!WSAAccept 71A20DA9 6 Bytes JMP 5F160F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[3068] WS2_32.dll!accept 71A21028 6 Bytes JMP 5F100F5A
.text C:\xampp\apache\bin\apache.exe[3364] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\xampp\apache\bin\apache.exe[3364] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\xampp\apache\bin\apache.exe[3364] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\xampp\apache\bin\apache.exe[3364] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\xampp\apache\bin\apache.exe[3364] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\xampp\apache\bin\apache.exe[3364] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Norman\Nvc\bin\cclaw.exe[4416] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\Nvc\bin\cclaw.exe[4416] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\Nvc\bin\cclaw.exe[4416] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\Nvc\bin\cclaw.exe[4416] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\Nvc\bin\cclaw.exe[4416] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\Nvc\bin\cclaw.exe[4416] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Norman\Nvc\bin\cclaw.exe[4416] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes CALL 7170003D
.text C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE[4984] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE[4984] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE[4984] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE[4984] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE[4984] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE[4984] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Norman\Nvc\bin\nvcoas.exe[5036] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\Nvc\bin\nvcoas.exe[5036] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\Nvc\bin\nvcoas.exe[5036] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\Nvc\bin\nvcoas.exe[5036] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\Nvc\bin\nvcoas.exe[5036] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\Nvc\bin\nvcoas.exe[5036] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 017F0001
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] WS2_32.dll!htons 71A12B66 6 Bytes JMP 5F040F5A
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] WS2_32.dll!connect 71A1406A 6 Bytes JMP 5F130F5A
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] WS2_32.dll!WSAEventSelect 71A14573 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] WS2_32.dll!WSAGetLastError + 2 71A194DE 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] WS2_32.dll!closesocket 71A19639 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] WS2_32.dll!WSAAsyncSelect 71A20979 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] WS2_32.dll!WSAConnect 71A20C69 6 Bytes JMP 5F190F5A
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] WS2_32.dll!WSAAccept 71A20DA9 6 Bytes JMP 5F160F5A
.text C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe[5172] WS2_32.dll!accept 71A21028 6 Bytes JMP 5F100F5A
.text C:\Programme\Norman\nse\bin\NSESVC.EXE[5344] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\nse\bin\NSESVC.EXE[5344] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\nse\bin\NSESVC.EXE[5344] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\nse\bin\NSESVC.EXE[5344] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\nse\bin\NSESVC.EXE[5344] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\nse\bin\NSESVC.EXE[5344] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Norman\npm\bin\niu.exe[5612] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA484E
.text C:\Programme\Norman\npm\bin\niu.exe[5612] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA48DD
.text C:\Programme\Norman\npm\bin\niu.exe[5612] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA48EA
.text C:\Programme\Norman\npm\bin\niu.exe[5612] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4B6E
.text C:\Programme\Norman\npm\bin\niu.exe[5612] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA48D3
.text C:\Programme\Norman\npm\bin\niu.exe[5612] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA492B
.text C:\Programme\Norman\npm\bin\niu.exe[5612] kernel32.dll!FreeLibrary + 15 7C80ABF3 4 Bytes CALL 7170003D
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spgu.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spgu.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spgu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spgu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spgu.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] spgu.sys
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!KfAcquireSpinLock] 0A64D90F
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!READ_PORT_UCHAR] 046FD406
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!KeGetCurrentIrql] 1672C31D
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!KfRaiseIrql] 1879CE14
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!KfLowerIrql] 3248ED2B
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!HalGetInterruptVector] 3C43E022
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!HalTranslateBusAddress] 2E5EF739
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!KeStallExecutionProcessor] 2055FA30
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!KfReleaseSpinLock] EC01B79A
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] E20ABA93
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!READ_PORT_USHORT] F017AD88
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] FE1CA081
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[HAL.dll!WRITE_PORT_UCHAR] D42D83BE
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[WMILIB.SYS!WmiSystemControl] C83B99AC
IAT \SystemRoot\System32\Drivers\aqbja81v.SYS[WMILIB.SYS!WmiCompleteRequest] C63094A5
|
|
09.07.2009, 22:09
| #12 |
| | Win32.delf.uc Trojaner eingefangen Und das ende von Gmer: Code:
ATTFilter ---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89E441F8
Device \FileSystem\Fastfat \FatCdrom 88B0E1F8
Device \Driver\sptd \Device\2096221680 spgu.sys
Device \Driver\usbuhci \Device\USBPDO-0 89D2E1F8
Device \Driver\usbuhci \Device\USBPDO-1 89D2E1F8
Device \Driver\usbuhci \Device\USBPDO-2 89D2E1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{BF7A8758-1E19-49A8-AD20-E8A38E5B360E} 891941F8
Device \Driver\usbuhci \Device\USBPDO-3 89D2E1F8
Device \Driver\usbehci \Device\USBPDO-4 89C711F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89DD51F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89DD51F8
Device \Driver\Cdrom \Device\CdRom0 89C5C1F8
Device \Driver\Cdrom \Device\CdRom1 89C5C1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 89E451F8
Device \Driver\atapi \Device\Ide\IdePort0 89E451F8
Device \Driver\atapi \Device\Ide\IdePort1 89E451F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 89E451F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 891941F8
Device \Driver\PCI_PNP5430 \Device\0000004b spgu.sys
Device \Driver\NetBT \Device\NetbiosSmb 891941F8
Device \Driver\usbuhci \Device\USBFDO-0 89D2E1F8
Device \Driver\usbuhci \Device\USBFDO-1 89D2E1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 891B4500
Device \Driver\usbuhci \Device\USBFDO-2 89D2E1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 891B4500
Device \Driver\usbuhci \Device\USBFDO-3 89D2E1F8
Device \Driver\usbehci \Device\USBFDO-4 89C711F8
Device \Driver\Ftdisk \Device\FtControl 89DD51F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{69476BD4-174A-4844-9265-E04294267661} 891941F8
Device \Driver\aqbja81v \Device\Scsi\aqbja81v1Port2Path0Target0Lun0 89C4E1F8
Device \Driver\aqbja81v \Device\Scsi\aqbja81v1 89C4E1F8
Device \FileSystem\Fastfat \Fat 88B0E1F8
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 8915F1F8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x99 0x6D 0xC9 0x44 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEC 0xEA 0x1A 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xEE 0xE6 0xD9 0xF3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x99 0x6D 0xC9 0x44 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEC 0xEA 0x1A 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xEE 0xE6 0xD9 0xF3 ...
---- EOF - GMER 1.0.15 ----
und hier die log von blacklight: Code:
ATTFilter 07/09/09 22:03:31 [Info]: BlackLight Engine 2.2.1092 initialized
07/09/09 22:03:31 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/09/09 22:03:31 [Note]: 7019 4
07/09/09 22:03:31 [Note]: 7005 0
07/09/09 22:03:35 [Note]: 7006 0
07/09/09 22:03:35 [Note]: 7011 1444
07/09/09 22:03:36 [Note]: 7035 0
07/09/09 22:03:36 [Note]: 7026 0
07/09/09 22:03:36 [Note]: 7026 0
07/09/09 22:03:39 [Note]: FSRAW library version 1.7.1024
07/09/09 22:09:36 [Note]: 2000 1012
07/09/09 22:24:07 [Note]: 7007 0
|
|
10.07.2009, 15:58
| #13 |
| /// Helfer-Team | Win32.delf.uc Trojaner eingefangen sorry, habe etwas noch vergessen: - Lade dir - RSIT herunter - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von RSIT installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten |
|
10.07.2009, 16:08
| #14 |
| | Win32.delf.uc Trojaner eingefangen Hi, das kann ich leider erst am dienstag machen, da ich übers wochenende nicht da bin. bis dann und thx an alle für die hilfe |
|
15.07.2009, 20:12
| #15 |
| | Win32.delf.uc Trojaner eingefangen einmal Hijackthis.log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:08:30, on 15.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\Programme\Norman\Npm\bin\ELOGSVC.EXE C:\Programme\Norman\Npm\Bin\Zanda.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\WLTRYSVC.EXE C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe c:\xampp\apache\bin\apache.exe C:\Programme\Java\jre6\bin\jqs.exe C:\xampp\mysql\bin\mysqld-nt.exe c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\WLTRAY.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Norman\Npm\bin\ZLH.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe C:\Programme\Java\jre6\bin\jusched.exe C:\windows\pp10.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\xampp\apache\bin\apache.exe C:\Programme\Norman\Npm\bin\NJEEVES.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Norman\nse\bin\NSESVC.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE C:\Programme\Norman\Nvc\bin\nvcoas.exe C:\Programme\Norman\Nvc\BIN\NIP.EXE C:\Programme\Norman\Nvc\bin\cclaw.exe C:\Programme\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.22.68.243:8080 O2 - BHO: C:\WINDOWS\system32\grffr83hn.dll - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\grffr83hn.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\bin\ZLH.EXE" /LOAD /SPLASH O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [pp] C:\windows\pp10.exe O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\recu\recured.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Spy-Net] C:\WINDOWS\recu\recured.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190720638000 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ha.bib.de O17 - HKLM\Software\..\Telephony: DomainName = ha.bib.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ha.bib.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ha.bib.de O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: rtasgvfu76ew8ndkfno94 - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\grffr83hn.dll O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\bin\ELOGSVC.EXE O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\nse\bin\NSESVC.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE -- End of file - 10087 bytes |
|
| Themen zu Win32.delf.uc Trojaner eingefangen |
| aufsetzen, daten, eingefangen, exe-dateien, externe festplatte, festplatten, gen, infiziert, infiziert?, internetverbindung, laptop, logon.exe, musik, nenne, neu aufsetzen, neuinstallation, programme, registry, retten, sachen, sichere, spiele, spybot, trojaner, trojaner eingefangen, verbindung, win, win32.delf.uc, wirklich |
Linear-Darstellung
