|
Plagegeister aller Art und deren Bekämpfung: Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.07.2009, 13:02 | #1 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Hallo liebe Community, ich habe seit einiger Zeit Probleme mit dem besagten "recycler konnte nicht gefunden werden". Ich kann nur noch über den Explorer auf meine Festplatte zugreifen und einige Dateien können nicht mehr aufgerufen werden. Ich habe mich bereits in anderen Threads schlau gemacht und die Combofix Software nach dem Leitfaden auf bleepingcomputer. com durchgeführt. Im Vorraus schon mal vielen Dank für die Hilfe. Mit freundlichen Grüßen sum.insanus Hier die Log-File: ComboFix 09-07-23.04 - User 24.07.2009 13:37.1.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.990.714 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\User\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf c:\windows\system32\drivers\gxvxcappykridqolwevpjmibmqjcjesdvnsrf.sys c:\windows\system32\drivers\gxvxcayuebitbcbiwynkdulvndpopqltpubih.sys c:\windows\system32\drivers\gxvxcbmrfvrnkdvfnrdvayrinqhtdxwsxxybr.sys c:\windows\system32\drivers\gxvxcbwmltarrvdhddrquwbivshkyuruhkexf.sys c:\windows\system32\drivers\gxvxcpwbrnkcpxmuxtxuwbiqjdqlrlnsswulq.sys c:\windows\system32\drivers\gxvxcqjniororuasdqppuqbbmuiynnqwwylvm.sys c:\windows\system32\drivers\gxvxcrsfnopevxodmlrpfmqhtiqqaqjbpjvrt.sys c:\windows\system32\drivers\gxvxcutunapjgmmupkrocbbjcxjvljkvbinkm.sys c:\windows\system32\drivers\gxvxcwvbfhwmiqqaettavhpmnvxtuwylvdkmr.sys c:\windows\system32\drivers\gxvxcxwsipjeynevxobrkdskkoylvrdlmpyxy.sys c:\windows\system32\drivers\gxvxcxyodoynpykrxwcyuenxowrkdtqpveoaq.sys c:\windows\system32\drivers\gxvxcypqfviqjwmtkdqoepappalqgixmycyes.sys c:\windows\system32\gxvxccounter c:\windows\system32\gxvxcvapwrtevxbxboveybxachrxrhboomgpo.dll E:\autorun.inf . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_gxvxcserv.sys ((((((((((((((((((((((( Dateien erstellt von 2009-06-24 bis 2009-07-24 )))))))))))))))))))))))))))))) . 2009-07-24 11:15 . 2009-07-24 11:15 -------- d-----w- c:\programme\ICQ6Toolbar 2009-07-24 11:15 . 2009-07-24 11:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2009-07-24 11:14 . 2009-07-24 11:15 -------- d-----w- c:\programme\ICQ6.5 2009-07-24 08:35 . 2006-08-01 13:02 49152 ----a-w- c:\windows\system32\ChCfg.exe 2009-07-24 08:35 . 2009-07-24 08:35 -------- d-----w- c:\windows\system32\RTCOM 2009-07-24 08:35 . 2007-10-11 09:04 1826816 ----a-w- c:\windows\SkyTel.exe 2009-07-24 08:35 . 2007-07-26 16:06 1191936 ----a-w- c:\windows\RtlUpd.exe 2009-07-24 08:35 . 2006-07-21 14:14 86016 ----a-w- c:\windows\SoundMan.exe 2009-07-24 08:35 . 2007-10-16 16:38 4615168 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys 2009-07-24 08:35 . 2007-03-23 17:19 9715200 ----a-w- c:\windows\RTLCPL.exe 2009-07-24 08:35 . 2009-07-24 08:35 -------- d-----w- c:\programme\Realtek 2009-07-24 08:35 . 2007-10-16 16:30 16855552 ----a-w- c:\windows\RTHDCPL.exe 2009-07-24 08:35 . 2007-06-28 14:44 2165760 ----a-w- c:\windows\MicCal.exe 2009-07-24 08:35 . 2006-05-04 14:26 2808832 ----a-w- c:\windows\alcwzrd.exe 2009-07-24 08:35 . 2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe 2009-07-24 08:34 . 2009-07-24 08:34 315392 ----a-w- c:\windows\HideWin.exe 2009-07-24 08:34 . 2007-07-26 15:09 520192 ----a-w- c:\windows\RtlExUpd.dll 2009-07-24 08:34 . 2005-03-16 06:23 13696 ----a-r- c:\windows\system32\drivers\BIOS.sys 2009-07-21 15:20 . 2009-07-21 15:20 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Foxit 2009-07-21 15:20 . 2009-07-21 15:20 -------- d-----w- c:\programme\Foxit Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-24 08:35 . 2009-04-06 11:19 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-24 07:47 . 2009-04-07 10:53 -------- d-----w- c:\programme\Windows Media Connect 2 2009-07-21 19:04 . 2009-04-17 10:25 1 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-07-13 08:35 . 2009-04-08 18:36 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\ICQ 2009-06-16 14:36 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 2008-04-14 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-14 18:33 . 2009-06-14 18:33 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer 2009-06-14 12:42 . 2009-06-14 12:42 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sony 2009-06-14 12:42 . 2009-06-14 12:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony 2009-06-14 12:40 . 2009-06-14 12:40 -------- d-----w- c:\programme\Gemeinsame Dateien\Sony Shared 2009-06-14 12:40 . 2009-06-14 12:26 -------- d-----w- c:\programme\Sony 2009-06-14 12:37 . 2009-06-14 12:36 -------- d-----w- c:\programme\QuickTime 2009-06-14 12:36 . 2009-06-14 12:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-06-14 12:36 . 2009-06-14 12:36 -------- d-----w- c:\programme\Apple Software Update 2009-06-14 12:36 . 2009-06-14 12:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple 2009-06-14 12:35 . 2009-06-14 12:35 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sony Corporation 2009-06-14 12:33 . 2008-04-14 12:00 71590 ----a-w- c:\windows\system32\perfc007.dat 2009-06-14 12:33 . 2008-04-14 12:00 408628 ----a-w- c:\windows\system32\perfh007.dat 2009-06-13 11:04 . 2009-04-18 18:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip 2009-06-09 17:51 . 2009-06-09 17:51 -------- d-----w- c:\programme\Funkyplot 2009-06-03 19:09 . 2008-04-14 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll 2009-05-07 15:32 . 2008-04-14 12:00 348160 ----a-w- c:\windows\system32\localspl.dll 2009-05-05 19:43 . 2009-04-07 08:37 72640 ----a-w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-29 04:33 . 2008-04-14 12:00 672256 ----a-w- c:\windows\system32\wininet.dll 2009-04-29 04:33 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll 2009-04-27 16:03 . 2009-04-07 08:36 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-04-27 16:03 . 2009-04-07 08:36 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] 2008-12-09 16:40 333192 ----a-w- c:\programme\AskBarDis\bar\bin\askBar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-12-09 333192] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-12-09 333192] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-23 8466432] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-23 81920] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016] "ContentTransferWMDetector.exe"="c:\programme\Sony\Content Transfer\ContentTransferWMDetector.exe" [2008-07-11 423200] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-07-23 1626112] "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-10-16 16855552] "SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-10-11 1826816] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\User\Startmen\Programme\Autostart\ OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "e:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [24.07.2009 10:34 13696] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.04.2009 10:36 108289] R2 ASKService;ASKService;c:\programme\AskBarDis\bar\bin\AskService.exe [28.04.2009 22:01 464264] R2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [28.04.2009 22:02 234888] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [24.07.2009 13:15 222968] . Inhalt des "geplante Tasks" Ordners 2009-06-14 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57] . . ------- Zusätzlicher Suchlauf ------- . IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-24 13:42 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-07-24 13:44 ComboFix-quarantined-files.txt 2009-07-24 11:43 Vor Suchlauf: 7 Verzeichnis(se), 20.968.767.488 Bytes frei Nach Suchlauf: 7 Verzeichnis(se), 22.656.212.992 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 165 --- E O F --- 2009-07-21 21:09 |
24.07.2009, 19:59 | #2 | |
/// Helfer-Team | Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Hallo sum.insanus
__________________Da Du mindestens ein Rootkit/wikipedia.org auf deinem Rechner hast, wie auch immer: Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 2. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 3. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 4. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 5. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 6. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
7. Lade und installiere das Tool RootRepeal herunter - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread ** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow Geändert von kira (24.07.2009 um 20:04 Uhr) |
25.07.2009, 17:45 | #3 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Ich kann wieder ganz normal auf meine Festplatte zugreifen.
__________________Reicht das ganze jetzt aus oder empfiehlst du trotzdem eine Formatierung? |
26.07.2009, 00:16 | #4 |
/// Helfer-Team | Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. wäre das ein sicherer Weg, aber es ist deine Entscheidung! wenn Du weiter machen möchtest arbeite die schritte vollständig ab |
28.07.2009, 20:54 | #5 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.Code:
ATTFilter Hier die filelist.zip logfile: ----- Root ----------------------------- Datenträger in Laufwerk C: ist XP Volumeseriennummer: A389-E0F9 Verzeichnis von C:\ 28.07.2009 21:31 43 filelist.txt 28.07.2009 13:17 1.560.281.088 pagefile.sys 24.07.2009 13:44 11.390 ComboFix.txt 24.07.2009 13:32 281 boot.ini 24.07.2009 10:35 206 mylog.log 24.07.2009 10:35 518 RHDSetup.log 06.04.2009 12:02 0 CONFIG.SYS 06.04.2009 12:02 0 AUTOEXEC.BAT 06.04.2009 12:02 0 IO.SYS 06.04.2009 12:02 0 MSDOS.SYS 06.04.2009 11:58 211 Boot.bak 15 Datei(en) 1.560.860.413 Bytes 0 Verzeichnis(se), 23.181.836.288 Bytes frei ----- Windows -------------------------- Datenträger in Laufwerk C: ist XP Volumeseriennummer: A389-E0F9 Verzeichnis von C:\WINDOWS 28.07.2009 20:24 116 NeroDigital.ini 28.07.2009 20:19 1.090.249 WindowsUpdate.log 28.07.2009 13:35 134.773 wmsetup.log 28.07.2009 13:18 0 0.log 28.07.2009 13:17 2.048 bootstat.dat 27.07.2009 19:44 32.564 SchedLgU.Txt 25.07.2009 03:02 10.312 KB939683.log 25.07.2009 03:02 454.742 setupapi.log 24.07.2009 23:07 68.047 spupdsvc.log 24.07.2009 21:55 8.536 KB959772.log 24.07.2009 21:55 7.658 KB954154.log 24.07.2009 21:55 10.814 KB936782.log 24.07.2009 13:42 227 system.ini 24.07.2009 10:34 315.392 HideWin.exe 24.07.2009 09:48 9.256 MSCompPackV1.log 24.07.2009 09:47 55.291 iis6.log 24.07.2009 09:47 130.198 comsetup.log 24.07.2009 09:47 141.055 tsoc.log 24.07.2009 09:47 20.037 ocmsn.log 24.07.2009 09:47 77.239 ntdtcsetup.log 24.07.2009 09:47 1.374 imsins.log 24.07.2009 09:47 38.649 wmp11.log 24.07.2009 09:47 7.567 wmsetup10.log 24.07.2009 09:47 18.175 msgsocm.log 24.07.2009 09:47 180.261 ocgen.log 24.07.2009 09:47 357.777 FaxSetup.log 24.07.2009 09:47 86.218 WMFDist11.log 24.07.2009 09:46 11.654 Wudf01000Inst.log 23.07.2009 22:51 582 win.ini 23.07.2009 22:48 9.814 wmp11Uninst.log 23.07.2009 22:48 13.489 updspapi.log 21.07.2009 23:09 1.374 imsins.BAK 21.07.2009 23:09 8.115 KB973346.log 21.07.2009 23:09 14.679 KB971633.log 21.07.2009 23:09 14.876 KB961371.log 13.07.2009 05:48 219.648 PEV.exe 04.07.2009 20:47 50 wiaservc.log 04.07.2009 20:47 216 wiadebug.log 19.06.2009 14:53 1.739 ie8_main.log 11.06.2009 16:17 14.761 KB961501.log 11.06.2009 16:17 15.795 KB969897.log 11.06.2009 16:17 7.694 KB969898.log 11.06.2009 16:17 12.491 KB970238.log 11.06.2009 16:16 12.164 KB968537.log 09.05.2009 02:08 162.074 ntbtlog.txt 26.04.2009 17:02 179.044 setupact.log 20.04.2009 12:56 31.232 NIRCMD.exe 15.04.2009 17:19 19.922 KB959426.log 15.04.2009 17:19 18.596 KB961373.log 15.04.2009 17:18 17.436 KB956572.log 15.04.2009 17:18 16.267 KB952004.log 15.04.2009 17:17 14.744 KB960803.log 15.04.2009 17:17 15.444 KB963027.log 15.04.2009 17:17 8.901 KB923561.log 07.04.2009 13:54 6.089 KB941569.log 07.04.2009 13:54 4.573 KB929399.log 07.04.2009 13:53 21.900 KB952069.log 07.04.2009 12:53 316.640 WMSysPr9.prx 07.04.2009 12:24 0 nsreg.dat 07.04.2009 09:25 1.183 ie7_main.log 07.04.2009 09:06 13.237 KB952954.log 07.04.2009 09:06 26.976 KB955839.log 07.04.2009 09:06 14.621 KB951978.log 07.04.2009 09:06 13.283 KB950974.log 07.04.2009 09:06 12.480 KB951698.log 07.04.2009 09:06 12.799 KB967715.log 07.04.2009 09:06 12.079 KB958690.log 07.04.2009 09:06 11.311 KB954459.log 06.04.2009 18:00 10.076 KB951376-v2.log 06.04.2009 18:00 10.163 KB946648.log 06.04.2009 18:00 10.827 KB958215.log 06.04.2009 18:00 15.215 KB960225.log 06.04.2009 18:00 9.556 KB956841.log 06.04.2009 18:00 8.626 KB960714.log 06.04.2009 18:00 12.390 KB956802.log 06.04.2009 17:40 11.028 KB956803.log 06.04.2009 17:40 8.354 KB938464-v2.log 06.04.2009 17:40 10.954 KB950762.log 06.04.2009 17:40 11.019 KB957097.log 06.04.2009 17:40 10.424 KB960715.log 06.04.2009 17:40 10.947 KB958687.log 06.04.2009 17:40 10.549 KB952287.log 06.04.2009 17:40 10.324 KB950760.log 06.04.2009 17:40 10.529 KB951066.log 06.04.2009 17:39 15.939 KB951748.log 06.04.2009 17:31 7.432 KB954600.log 06.04.2009 17:31 7.743 KB958644.log 06.04.2009 17:31 7.512 KB955069.log 06.04.2009 17:24 8.978 KB898461.log 06.04.2009 17:24 812.184 setuplog.txt 06.04.2009 12:50 0 Sti_Trace.log 06.04.2009 12:47 1.348 regopt.log 06.04.2009 12:45 0 setuperr.log 06.04.2009 12:06 829 OEWABLog.txt 06.04.2009 12:05 8.192 REGLOCS.OLD 06.04.2009 12:02 0 control.ini 06.04.2009 12:02 4.161 ODBCINST.INI 06.04.2009 12:01 749 WindowsShell.Manifest 06.04.2009 12:00 37 vbaddin.ini 06.04.2009 12:00 36 vb.ini 06.04.2009 12:00 130 DtcInstall.log 06.04.2009 12:00 1.023 sessmgr.setup.log 06.04.2009 11:58 200 cmsetacl.log 152 Datei(en) 46.587.301 Bytes 0 Verzeichnis(se), 23.181.824.000 Bytes frei ----- System --- Datenträger in Laufwerk C: ist XP Volumeseriennummer: A389-E0F9 Verzeichnis von C:\WINDOWS\system 25 Datei(en) 929.787 Bytes 0 Verzeichnis(se), 23.181.828.096 Bytes frei ----- System 32 (Achtung: Zeitfenster beachten!) --- Datenträger in Laufwerk C: ist XP Volumeseriennummer: A389-E0F9 Verzeichnis von C:\WINDOWS\system32 28.07.2009 16:23 401.920 CF15703.exe 24.07.2009 09:47 16.832 amcompat.tlb 24.07.2009 09:47 23.392 nscompat.tlb 24.07.2009 09:46 13.646 wpa.dbl 07.07.2009 17:10 24.539.592 MRT.exe 16.06.2009 16:36 81.920 fontsub.dll 16.06.2009 16:36 119.808 t2embed.dll 14.06.2009 14:33 395.200 perfh009.dat 14.06.2009 14:33 59.440 perfc009.dat 14.06.2009 14:33 408.628 perfh007.dat 14.06.2009 14:33 71.590 perfc007.dat 14.06.2009 14:33 836.088 PerfStringBackup.INI 11.06.2009 19:57 280.536 FNTCACHE.DAT 03.06.2009 21:09 1.296.896 quartz.dll 07.05.2009 17:32 348.160 localspl.dll 29.04.2009 06:33 3.089.920 mshtml.dll 29.04.2009 06:33 621.056 urlmon.dll 29.04.2009 06:33 672.256 wininet.dll 29.04.2009 06:33 1.499.136 shdocvw.dll 29.04.2009 06:33 81.920 ieencode.dll 29.04.2009 06:21 371.200 html.iec 19.04.2009 21:46 1.847.296 win32k.sys 15.04.2009 16:51 585.216 rpcrt4.dll 07.04.2009 09:06 211.558 TZLog.log 06.04.2009 17:28 146.650 BuzzingBee.wav 06.04.2009 17:28 940.794 LoopyMusic.wav 06.04.2009 17:28 128.026 nvapps.xml 06.04.2009 17:23 13.646 wpa.bak 06.04.2009 12:58 0 h323log.txt 06.04.2009 12:50 5.208 pid.PNF 06.04.2009 12:04 261 $winnt$.inf 06.04.2009 12:02 2.951 CONFIG.NT 06.04.2009 12:01 488 WindowsLogon.manifest 06.04.2009 12:01 488 logonui.exe.manifest 06.04.2009 12:01 749 nwc.cpl.manifest 06.04.2009 12:01 749 sapi.cpl.manifest 06.04.2009 12:01 749 cdplayer.exe.manifest 06.04.2009 12:01 749 ncpa.cpl.manifest 06.04.2009 12:01 749 wuaucpl.cpl.manifest 06.04.2009 12:00 21.740 emptyregdb.dat 21.03.2009 16:06 1.063.424 kernel32.dll 06.03.2009 16:19 286.720 pdh.dll 10.02.2009 19:03 2.068.352 ntkrnlpa.exe 09.02.2009 13:21 2.191.360 ntoskrnl.exe 09.02.2009 13:21 111.104 services.exe 09.02.2009 12:51 736.768 lsasrv.dll 09.02.2009 12:51 401.408 rpcss.dll 09.02.2009 12:51 678.400 advapi32.dll 09.02.2009 12:51 740.352 ntdll.dll 06.02.2009 12:39 35.328 sc.exe 03.02.2009 21:57 56.832 secur32.dll 1975 Datei(en) 456.212.496 Bytes 0 Verzeichnis(se), 23.181.643.776 Bytes frei ----- Prefetch ------------------------- Datenträger in Laufwerk C: ist XP Volumeseriennummer: A389-E0F9 Verzeichnis von C:\WINDOWS\Prefetch 28.07.2009 21:31 11.056 FIND.EXE-0EC32F1E.pf 28.07.2009 21:31 14.810 CMD.EXE-087B4001.pf 28.07.2009 21:29 33.842 AVWSC.EXE-24612965.pf 28.07.2009 21:25 14.604 NOTEPAD.EXE-336351A9.pf 28.07.2009 21:25 64.230 HIJACKTHIS.EXE-39024128.pf 28.07.2009 21:25 42.752 WMIPRVSE.EXE-28F301A9.pf 28.07.2009 20:26 76.728 QIP.EXE-122315D7.pf 28.07.2009 20:23 19.350 VERCLSID.EXE-3667BD89.pf 28.07.2009 20:19 56.108 AVCENTER.EXE-1D2DB8A2.pf 28.07.2009 20:19 86.180 FIREFOX.EXE-28BE8AE1.pf 28.07.2009 20:18 21.216 WUAUCLT.EXE-399A8E72.pf 28.07.2009 20:18 32.464 LOGONUI.EXE-0AF22957.pf 28.07.2009 20:18 15.458 RUNDLL32.EXE-1857459C.pf 28.07.2009 20:18 19.532 RUNDLL32.EXE-31610E45.pf 28.07.2009 17:33 58.190 UPDATE.EXE-3398FCD6.pf 28.07.2009 16:45 24.888 Y19SJTEM.EXE-04005CE7.pf 28.07.2009 16:43 55.134 CCLEANER.EXE-065E2F3F.pf 28.07.2009 16:40 18.340 CCSETUP222_SLIM.EXE-18A1E0FE.pf 28.07.2009 16:37 48.168 WINZIP32.EXE-335422C1.pf 28.07.2009 16:29 16.078 HJTINSTALL.EXE-17574AC2.pf 28.07.2009 16:24 7.784 PEV.CFEXE-29A7886F.pf 28.07.2009 16:24 12.164 CF15703.EXE-37AC696B.pf 28.07.2009 16:24 4.112 GREP.CFEXE-20443039.pf 28.07.2009 16:24 5.368 ATTRIB.CFEXE-07A4D3CF.pf 28.07.2009 16:24 11.278 ATTRIB.EXE-39EAFB02.pf 28.07.2009 16:24 4.130 SED.CFEXE-268D7E58.pf 28.07.2009 16:24 7.134 SWREG.EXE-3560BE42.pf 28.07.2009 16:24 8.594 NIRCMDC.CFEXE-049E77E5.pf 28.07.2009 16:24 18.434 PV.CFEXE-0E6F2701.pf 28.07.2009 16:24 8.640 NIRCMD.CFEXE-19FF4781.pf 28.07.2009 16:24 5.632 CHCP.COM-18156052.pf 28.07.2009 16:24 44.398 PEV.CFEXE-26A9D6BD.pf 28.07.2009 16:24 19.778 PV.CFEXE-23E4A9A0.pf 28.07.2009 16:24 11.298 NIRCMD.CFEXE-0E3F4BC2.pf 28.07.2009 16:24 5.104 SED.CFEXE-238FCCA6.pf 28.07.2009 16:24 26.122 CSCRIPT.EXE-1C26180C.pf 28.07.2009 16:23 11.778 CMD.EXECF-27E83661.pf 28.07.2009 16:23 4.454 GREP.CFEXE-273BC5E1.pf 28.07.2009 16:23 8.358 NIRCMDB.EXE-143CC1C1.pf 28.07.2009 16:23 8.352 PEV.EXE-2937A365.pf 28.07.2009 16:23 10.014 SWREG.EXE-0937BD77.pf 28.07.2009 16:23 22.402 N.PIF-1B75D06C.pf 28.07.2009 16:23 19.814 PV.EXE-06A2AC78.pf 28.07.2009 16:23 65.310 COMBOFIX.EXE-12D0BECD.pf 28.07.2009 16:23 4.946 GSAR.CFEXE-0E6FCB31.pf 28.07.2009 16:23 4.860 HIDEC.EXE-3B166DB3.pf 28.07.2009 16:23 8.346 SWXCACLS.CFEXE-33871FBE.pf 28.07.2009 16:23 16.262 RUNDLL32.EXE-1EE676D0.pf 28.07.2009 16:23 26.908 RUNONCE.EXE-2803F297.pf 28.07.2009 16:23 12.126 GRPCONV.EXE-111CD845.pf 28.07.2009 16:22 29.350 RUNDLL32.EXE-42259783.pf 28.07.2009 16:13 54.706 SOFFICE.BIN-1E52E616.pf 28.07.2009 16:13 10.068 SOFFICE.EXE-26427B3D.pf 28.07.2009 16:13 11.162 SWRITER.EXE-232617FC.pf 28.07.2009 13:34 44.690 SETUP_WM.EXE-19AC5A9B.pf 28.07.2009 13:34 100.634 WMPLAYER.EXE-09969332.pf 28.07.2009 13:32 56.646 DFRGNTFS.EXE-269967DF.pf 28.07.2009 13:32 16.580 DEFRAG.EXE-273F131E.pf 28.07.2009 13:32 318.224 Layout.ini 28.07.2009 13:19 1.039.400 NTOSBOOT-B00DFAAD.pf 27.07.2009 17:57 61.152 WMPLAYER.EXE-09969338.pf 27.07.2009 17:50 114.772 ICQ.EXE-15A4C655.pf 27.07.2009 17:33 58.408 AVNOTIFY.EXE-31D7686A.pf 27.07.2009 12:05 92.572 ICQ.EXE-09964922.pf 27.07.2009 12:05 25.538 MSMSGS.EXE-32066BA5.pf 27.07.2009 12:05 13.858 CTFMON.EXE-0E17969B.pf 27.07.2009 12:05 44.586 RTHDCPL.EXE-06918CFA.pf 27.07.2009 12:05 19.898 GROOVEMONITOR.EXE-27AC1EA0.pf 27.07.2009 12:05 39.222 IMAPI.EXE-0BF740A4.pf 27.07.2009 12:05 49.760 USERINIT.EXE-30B18140.pf 27.07.2009 12:05 96.940 EXPLORER.EXE-082F38A9.pf 27.07.2009 12:05 12.242 SKYTEL.EXE-12751D3A.pf 27.07.2009 12:05 6.486 NEROCHECK.EXE-092C6DFA.pf 27.07.2009 12:05 8.080 QTTASK.EXE-2D7EEF34.pf 27.07.2009 12:05 24.574 RUNDLL32.EXE-35A483DA.pf 27.07.2009 06:26 11.298 WAR3UNIN.EXE-378F646C.pf 27.07.2009 02:00 20.436 RUNDLL32.EXE-2A94BB85.pf 27.07.2009 02:00 20.162 RUNDLL32.EXE-2E5AF1D7.pf 27.07.2009 01:15 55.344 FROZEN THRONE.EXE-0ED0B3D3.pf 27.07.2009 01:15 54.530 WAR3.EXE-3858031C.pf 26.07.2009 21:39 15.428 GUARDGUI.EXE-147E0160.pf 26.07.2009 20:32 100.850 HELPSVC.EXE-2878DDA2.pf 26.07.2009 16:41 29.610 RUNDLL32.EXE-41D91FB4.pf 26.07.2009 16:40 13.832 CONTENTTRANSFERWMDETECTOR.EXE-10669E44.pf 26.07.2009 16:40 14.432 RUNDLL32.EXE-1218E1AC.pf 26.07.2009 16:40 10.796 READER_SL.EXE-2FAFE67A.pf 26.07.2009 16:40 26.822 RUNDLL32.EXE-1340EF7F.pf 26.07.2009 16:40 50.732 AVGNT.EXE-39CD89BF.pf 26.07.2009 16:39 22.502 RUNDLL32.EXE-415F88EC.pf 25.07.2009 17:38 25.190 RUNDLL32.EXE-426509DD.pf 25.07.2009 10:43 13.304 HELPER.EXE-0FA8EADB.pf 25.07.2009 10:43 47.032 DRWTSN32.EXE-2B4B52AC.pf 25.07.2009 10:43 61.692 DWWIN.EXE-30875ADC.pf 25.07.2009 10:42 11.516 UPDATER.EXE-0E756440.pf 25.07.2009 10:42 30.622 RUNDLL32.EXE-4B97E22F.pf 25.07.2009 10:42 15.372 ALG.EXE-0F138680.pf 25.07.2009 03:01 63.294 UPDATE.EXE-058DAEEF.pf 25.07.2009 01:12 16.556 SNDVOL32.EXE-383480B7.pf 25.07.2009 00:04 14.006 RUNDLL32.EXE-451FC2C0.pf 25.07.2009 00:03 33.498 REGSVR32.EXE-25EEFE2F.pf 24.07.2009 21:55 53.404 UNREGMP2.EXE-07CACB61.pf 24.07.2009 21:55 20.716 SPUPDSVC.EXE-21B36524.pf 24.07.2009 20:39 29.490 ICQUPDATER.EXE-1D42DB50.pf 23.07.2009 20:12 27.158 NWIZ.EXE-2D0F9FBC.pf 23.07.2009 19:35 15.682 WUDFHOST.EXE-215E7549.pf 23.07.2009 16:59 12.400 LOGON.SCR-151EFAEA.pf 106 Datei(en) 4.440.282 Bytes 0 Verzeichnis(se), 23.181.725.696 Bytes frei ----- Tasks ---------------------------- Datenträger in Laufwerk C: ist XP Volumeseriennummer: A389-E0F9 Verzeichnis von C:\WINDOWS\tasks 28.07.2009 13:17 6 SA.DAT 14.06.2009 14:36 276 AppleSoftwareUpdate.job 14.04.2008 14:00 65 desktop.ini 3 Datei(en) 347 Bytes 0 Verzeichnis(se), 23.181.725.696 Bytes frei ----- Windows/Temp ----------------------- Datenträger in Laufwerk C: ist XP Volumeseriennummer: A389-E0F9 Verzeichnis von C:\WINDOWS\Temp ----- Temp ----------------------------- Datenträger in Laufwerk C: ist XP Volumeseriennummer: A389-E0F9 Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 28.07.2009 21:30 0 etilqs_ugDGtv4yrk6lW9nXYgai 28.07.2009 21:18 4.762 pic13032.gif 28.07.2009 16:44 1.670 wmplog00.sqm 28.07.2009 16:37 549 filelist.zip 28.07.2009 14:02 4.762 pic27093.gif 28.07.2009 14:02 4.762 pic17481.gif 27.07.2009 17:30 4.762 pic29093.gif 27.07.2009 12:47 4.762 pic9579.gif 27.07.2009 01:12 0 98u6C.tmp 26.07.2009 16:42 4.762 pic15564.gif 25.07.2009 18:58 4.762 pic30955.gif 25.07.2009 18:58 4.762 pic30371.gif 25.07.2009 13:57 4.762 pic10812.gif 25.07.2009 13:57 4.762 pic3705.gif 25.07.2009 11:14 130.775 090721_[NE]go)yange_VS_[ORC]Mouz.Fly_TwistedMeadows_RN.w3g 25.07.2009 11:03 180.556 090725_[ORC]EG.Grubby_VS_[NE]WemadeFOX_Moon_TerenasStand_RN.w3g 25.07.2009 10:46 250.312 090725_[ORC]nGize.LucifroN7_VS_[NE]WemadeFOX_Moon_TurtleRock_RN.w3g 25.07.2009 04:54 198.911 090627_[HM]mouz_th000_VS_[UD]ReiGn_1_TwistedMeadows_RN.w3g 25.07.2009 04:34 488.206 090703_[UD]GER.Hasu+[NE]Ger.hanf_VS_[NE]CaptainTReSH.UA+[NE]ua.hothot_LostTemple_RN.w3g 25.07.2009 03:31 178.989 090711_[UD]we09px__VS_[HM]Dhc.Dhc_TH000_EchoIsles_RN_2.w3g 25.07.2009 03:30 209.327 090713_[HM]GaB.Myth_VS_[HM]we.pepsi.sky_TwistedMeadows_RN.w3g 25.07.2009 03:27 129.198 090721_[NE]A.one)Townhall_VS_[ORC]Mouz.Fly_TwistedMeadows_RN.w3g 25.07.2009 03:07 340.023 090724_[NE]Wicked.Shy_VS_[HM]mouz_th000_EchoIsles_RN.w3g 25.07.2009 00:03 4.592 SIntfIcn.ani 25.07.2009 00:03 24.516 SIntfNT.dll 25.07.2009 00:03 19.924 SIntf32.dll 25.07.2009 00:03 12.067 SIntf16.dll 25.07.2009 00:03 36.864 CmdLineExt02.dll 24.07.2009 20:36 4.762 pic22250.gif 24.07.2009 20:35 22.263 Turkish.bin 24.07.2009 20:35 21.975 Norwegian.bin 24.07.2009 20:35 26.094 Hungarian.bin 24.07.2009 20:35 19.564 Hebrew.bin 24.07.2009 20:35 22.868 Finnish.bin 24.07.2009 20:35 24.321 Czech.bin 24.07.2009 20:35 25.082 Portuguese(Brazil).bin 24.07.2009 20:35 24.232 Polish.bin 24.07.2009 20:35 25.093 Greek.bin 24.07.2009 20:35 21.987 Thai.bin 24.07.2009 20:35 20.991 Arabic.bin 24.07.2009 20:35 16.420 SimChin.bin 24.07.2009 20:35 21.944 English.bin 24.07.2009 20:35 26.271 Portuguese.bin 24.07.2009 20:35 24.093 SWEDISH.bin 24.07.2009 20:35 27.764 Spanish.bin 24.07.2009 20:35 26.136 Russian.bin 24.07.2009 20:35 27.421 Italian.bin 24.07.2009 20:35 25.764 German.bin 24.07.2009 20:35 27.245 French.bin 24.07.2009 20:35 16.962 TradChin.bin 24.07.2009 20:35 25.758 Dutch.bin 24.07.2009 20:34 22.794 Danish.bin 24.07.2009 20:34 20.145 Korean.bin 24.07.2009 20:34 24.310 Japanese.bin 24.07.2009 14:10 4.762 pic15460.gif 24.07.2009 13:45 5.521 BtnConfig.ini 24.07.2009 13:44 11.390 log.txt 57 Datei(en) 2.868.031 Bytes 0 Verzeichnis(se), 23.181.721.600 Bytes frei |
28.07.2009, 20:55 | #6 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Hier die highjackthis logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:25:37, on 28.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\AskBarDis\bar\bin\AskService.exe C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin E:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\User\Desktop\y19sjtem.exe E:\Programme\QIP\qip.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{215A9310-6E06-4363-9EC7-8B3EF75F0697}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 5947 bytes Das sind meine Dateien: Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Reader 9.1.2 - Deutsch Apple Software Update Audacity 1.2.6 Avira AntiVir Personal - Free Antivirus CCleaner (remove only) Content Transfer DivX Web Player Foxit Reader Free YouTube to Mp3 Converter version 3.1 Funkyplot 1.1.0-pre1 HijackThis 2.0.2 ICQ Toolbar ICQ6.5 Media Manager for WALKMAN 1.2 Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Office Enterprise 2007 Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Mozilla Firefox (3.0.12) MSN Nero Suite NVIDIA Drivers OpenOffice.org 3.0 QuickTime Realtek High Definition Audio Driver Uninstall 1.0.0.1 VLC media player 0.9.9 Vuze Toolbar Windows Media Format 11 runtime Code:
ATTFilter Und hier der logfile von Rootrepeal: ROOTREPEAL (c) AD, 2007-2009 ================================================== Scan Start Time: 2009/07/28 21:45 Program Version: Version 1.3.3.0 Windows Version: Windows XP SP3 ================================================== Drivers ------------------- Name: ACPI.sys Image Path: ACPI.sys Address: 0xF7357000 Size: 188800 File Visible: - Signed: - Status: - Name: ACPI_HAL Image Path: \Driver\ACPI_HAL Address: 0x804D7000 Size: 2068352 File Visible: - Signed: - Status: - Name: afd.sys Image Path: C:\WINDOWS\System32\drivers\afd.sys Address: 0xF35B7000 Size: 138496 File Visible: - Signed: - Status: - Name: atapi.sys Image Path: atapi.sys Address: 0xF730F000 Size: 96512 File Visible: - Signed: - Status: - Name: audstub.sys Image Path: C:\WINDOWS\system32\DRIVERS\audstub.sys Address: 0xF7BA0000 Size: 3072 File Visible: - Signed: - Status: - Name: avgio.sys Image Path: C:\Programme\Avira\AntiVir Desktop\avgio.sys Address: 0xF79D9000 Size: 6144 File Visible: - Signed: - Status: - Name: avgntflt.sys Image Path: C:\WINDOWS\system32\DRIVERS\avgntflt.sys Address: 0xBAED4000 Size: 81920 File Visible: - Signed: - Status: - Name: avipbb.sys Image Path: C:\WINDOWS\system32\DRIVERS\avipbb.sys Address: 0xF34B2000 Size: 114688 File Visible: - Signed: - Status: - Name: Beep.SYS Image Path: C:\WINDOWS\System32\Drivers\Beep.SYS Address: 0xF79CF000 Size: 4224 File Visible: - Signed: - Status: - Name: BIOS.sys Image Path: C:\WINDOWS\system32\drivers\BIOS.sys Address: 0xF3C2F000 Size: 13696 File Visible: - Signed: - Status: - Name: BOOTVID.dll Image Path: C:\WINDOWS\system32\BOOTVID.dll Address: 0xF7897000 Size: 12288 File Visible: - Signed: - Status: - Name: Cdfs.SYS Image Path: C:\WINDOWS\System32\Drivers\Cdfs.SYS Address: 0xF3CDF000 Size: 63744 File Visible: - Signed: - Status: - Name: cdrom.sys Image Path: C:\WINDOWS\system32\DRIVERS\cdrom.sys Address: 0xF75F7000 Size: 62976 File Visible: - Signed: - Status: - Name: CLASSPNP.SYS Image Path: C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS Address: 0xF74C7000 Size: 53248 File Visible: - Signed: - Status: - Name: disk.sys Image Path: disk.sys Address: 0xF74B7000 Size: 36352 File Visible: - Signed: - Status: - Name: drmk.sys Image Path: C:\WINDOWS\system32\drivers\drmk.sys Address: 0xF7517000 Size: 61440 File Visible: - Signed: - Status: - Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xF3472000 Size: 98304 File Visible: No Signed: - Status: - Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xF79DB000 Size: 8192 File Visible: No Signed: - Status: - Name: Dxapi.sys Image Path: C:\WINDOWS\System32\drivers\Dxapi.sys Address: 0xF36D2000 Size: 12288 File Visible: - Signed: - Status: - Name: dxg.sys Image Path: C:\WINDOWS\System32\drivers\dxg.sys Address: 0xBF9C3000 Size: 73728 File Visible: - Signed: - Status: - Name: dxgthk.sys Image Path: C:\WINDOWS\System32\drivers\dxgthk.sys Address: 0xF7A52000 Size: 4096 File Visible: - Signed: - Status: - Name: fdc.sys Image Path: C:\WINDOWS\system32\DRIVERS\fdc.sys Address: 0xF7797000 Size: 27392 File Visible: - Signed: - Status: - Name: Fips.SYS Image Path: C:\WINDOWS\System32\Drivers\Fips.SYS Address: 0xF7577000 Size: 44672 File Visible: - Signed: - Status: - Name: flpydisk.sys Image Path: C:\WINDOWS\system32\DRIVERS\flpydisk.sys Address: 0xF77DF000 Size: 20480 File Visible: - Signed: - Status: - Name: fltMgr.sys Image Path: fltMgr.sys Address: 0xF72EF000 Size: 129792 File Visible: - Signed: - Status: - Name: Fs_Rec.SYS Image Path: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS Address: 0xF79CD000 Size: 7936 File Visible: - Signed: - Status: - Name: ftdisk.sys Image Path: ftdisk.sys Address: 0xF7327000 Size: 126336 File Visible: - Signed: - Status: - Name: hal.dll Image Path: C:\WINDOWS\system32\hal.dll Address: 0x806D0000 Size: 131840 File Visible: - Signed: - Status: - Name: HDAudBus.sys Image Path: C:\WINDOWS\system32\DRIVERS\HDAudBus.sys Address: 0xF6AB5000 Size: 163840 File Visible: - Signed: - Status: - Name: HIDCLASS.SYS Image Path: C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS Address: 0xF7667000 Size: 36864 File Visible: - Signed: - Status: - Name: HIDPARSE.SYS Image Path: C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS Address: 0xF784F000 Size: 28672 File Visible: - Signed: - Status: - Name: hidusb.sys Image Path: C:\WINDOWS\system32\DRIVERS\hidusb.sys Address: 0xF36F6000 Size: 10368 File Visible: - Signed: - Status: - Name: HTTP.sys Image Path: C:\WINDOWS\System32\Drivers\HTTP.sys Address: 0xBA631000 Size: 264832 File Visible: - Signed: - Status: - Name: i8042prt.sys Image Path: C:\WINDOWS\system32\DRIVERS\i8042prt.sys Address: 0xF75D7000 Size: 52992 File Visible: - Signed: - Status: - Name: imapi.sys Image Path: C:\WINDOWS\system32\DRIVERS\imapi.sys Address: 0xF75E7000 Size: 42112 File Visible: - Signed: - Status: - Name: ipnat.sys Image Path: C:\WINDOWS\system32\DRIVERS\ipnat.sys Address: 0xF34CE000 Size: 152832 File Visible: - Signed: - Status: - Name: ipsec.sys Image Path: C:\WINDOWS\system32\DRIVERS\ipsec.sys Address: 0xF365A000 Size: 75264 File Visible: - Signed: - Status: - Name: isapnp.sys Image Path: isapnp.sys Address: 0xF7487000 Size: 37632 File Visible: - Signed: - Status: - Name: kbdclass.sys Image Path: C:\WINDOWS\system32\DRIVERS\kbdclass.sys Address: 0xF779F000 Size: 25216 File Visible: - Signed: - Status: - Name: KDCOM.DLL Image Path: C:\WINDOWS\system32\KDCOM.DLL Address: 0xF7987000 Size: 8192 File Visible: - Signed: - Status: - Name: kmixer.sys Image Path: C:\WINDOWS\system32\drivers\kmixer.sys Address: 0xB94E7000 Size: 172416 File Visible: - Signed: - Status: - Name: ks.sys Image Path: C:\WINDOWS\system32\DRIVERS\ks.sys Address: 0xF6ADD000 Size: 143360 File Visible: - Signed: - Status: - Name: KSecDD.sys Image Path: KSecDD.sys Address: 0xF72C6000 Size: 92288 File Visible: - Signed: - Status: - Name: mnmdd.SYS Image Path: C:\WINDOWS\System32\Drivers\mnmdd.SYS Address: 0xF79D1000 Size: 4224 File Visible: - Signed: - Status: - Name: mouclass.sys Image Path: C:\WINDOWS\system32\DRIVERS\mouclass.sys Address: 0xF77CF000 Size: 23552 File Visible: - Signed: - Status: - Name: mouhid.sys Image Path: C:\WINDOWS\system32\DRIVERS\mouhid.sys Address: 0xF36F2000 Size: 12288 File Visible: - Signed: - Status: - Name: MountMgr.sys Image Path: MountMgr.sys Address: 0xF7497000 Size: 42368 File Visible: - Signed: - Status: - Name: mrxdav.sys Image Path: C:\WINDOWS\system32\DRIVERS\mrxdav.sys Address: 0xBAC27000 Size: 180608 File Visible: - Signed: - Status: - Name: mrxsmb.sys Image Path: C:\WINDOWS\system32\DRIVERS\mrxsmb.sys Address: 0xF34F4000 Size: 455296 File Visible: - Signed: - Status: - Name: Msfs.SYS Image Path: C:\WINDOWS\System32\Drivers\Msfs.SYS Address: 0xF7837000 Size: 19072 File Visible: - Signed: - Status: - Name: msgpc.sys Image Path: C:\WINDOWS\system32\DRIVERS\msgpc.sys Address: 0xF7657000 Size: 35072 File Visible: - Signed: - Status: - Name: mssmbios.sys Image Path: C:\WINDOWS\system32\DRIVERS\mssmbios.sys Address: 0xF7963000 Size: 15488 File Visible: - Signed: - Status: - Name: Mup.sys Image Path: Mup.sys Address: 0xF71DF000 Size: 105344 File Visible: - Signed: - Status: - Name: NDIS.sys Image Path: NDIS.sys Address: 0xF71F9000 Size: 182656 File Visible: - Signed: - Status: - Name: ndistapi.sys Image Path: C:\WINDOWS\system32\DRIVERS\ndistapi.sys Address: 0xF7953000 Size: 10112 File Visible: - Signed: - Status: - Name: ndisuio.sys Image Path: C:\WINDOWS\system32\DRIVERS\ndisuio.sys Address: 0xBAE94000 Size: 14592 File Visible: - Signed: - Status: - Name: ndiswan.sys Image Path: C:\WINDOWS\system32\DRIVERS\ndiswan.sys Address: 0xF62DE000 Size: 91520 File Visible: - Signed: - Status: - Name: NDProxy.SYS Image Path: C:\WINDOWS\System32\Drivers\NDProxy.SYS Address: 0xF7697000 Size: 40576 File Visible: - Signed: - Status: - Name: netbios.sys Image Path: C:\WINDOWS\system32\DRIVERS\netbios.sys Address: 0xF7567000 Size: 34688 File Visible: - Signed: - Status: - Name: netbt.sys Image Path: C:\WINDOWS\system32\DRIVERS\netbt.sys Address: 0xF35D9000 Size: 162816 File Visible: - Signed: - Status: - Name: Npfs.SYS Image Path: C:\WINDOWS\System32\Drivers\Npfs.SYS Address: 0xF783F000 Size: 30848 File Visible: - Signed: - Status: - Name: Ntfs.sys Image Path: Ntfs.sys Address: 0xF7226000 Size: 574976 File Visible: - Signed: - Status: - Name: ntkrnlpa.exe Image Path: C:\WINDOWS\system32\ntkrnlpa.exe Address: 0x804D7000 Size: 2068352 File Visible: - Signed: - Status: - Name: Null.SYS Image Path: C:\WINDOWS\System32\Drivers\Null.SYS Address: 0xF7B10000 Size: 2944 File Visible: - Signed: - Status: - Name: nv4_disp.dll Image Path: C:\WINDOWS\System32\nv4_disp.dll Address: 0xBF9D5000 Size: 5693440 File Visible: - Signed: - Status: - Name: nv4_mini.sys Image Path: C:\WINDOWS\system32\DRIVERS\nv4_mini.sys Address: 0xF634E000 Size: 6807424 File Visible: - Signed: - Status: - Name: NVENETFD.sys Image Path: C:\WINDOWS\system32\DRIVERS\NVENETFD.sys Address: 0xF76B7000 Size: 54400 File Visible: - Signed: - Status: - Name: nvnetbus.sys Image Path: C:\WINDOWS\system32\DRIVERS\nvnetbus.sys Address: 0xF7617000 Size: 40960 File Visible: - Signed: - Status: - Name: NVNRM.SYS Image Path: C:\WINDOWS\system32\DRIVERS\NVNRM.SYS Address: 0xF69CC000 Size: 954368 File Visible: - Signed: - Status: - Name: parport.sys Image Path: C:\WINDOWS\system32\DRIVERS\parport.sys Address: 0xF6B24000 Size: 80384 File Visible: - Signed: - Status: - Name: PartMgr.sys Image Path: PartMgr.sys Address: 0xF770F000 Size: 19712 File Visible: - Signed: - Status: - Name: ParVdm.SYS Image Path: C:\WINDOWS\System32\Drivers\ParVdm.SYS Address: 0xF79AD000 Size: 7040 File Visible: - Signed: - Status: - Name: pci.sys Image Path: pci.sys Address: 0xF7346000 Size: 68224 File Visible: - Signed: - Status: - Name: pciide.sys Image Path: pciide.sys Address: 0xF7A4F000 Size: 3328 File Visible: - Signed: - Status: - Name: PCIIDEX.SYS Image Path: C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS Address: 0xF7707000 Size: 28672 File Visible: - Signed: - Status: - Name: PnpManager Image Path: \Driver\PnpManager Address: 0x804D7000 Size: 2068352 File Visible: - Signed: - Status: - Name: portcls.sys Image Path: C:\WINDOWS\system32\drivers\portcls.sys Address: 0xF373F000 Size: 147456 File Visible: - Signed: - Status: - Name: processr.sys Image Path: C:\WINDOWS\system32\DRIVERS\processr.sys Address: 0xF75B7000 Size: 39936 File Visible: - Signed: - Status: - Name: psched.sys Image Path: C:\WINDOWS\system32\DRIVERS\psched.sys Address: 0xF62CD000 Size: 69120 File Visible: - Signed: - Status: - Name: ptilink.sys Image Path: C:\WINDOWS\system32\DRIVERS\ptilink.sys Address: 0xF77BF000 Size: 17792 File Visible: - Signed: - Status: - Name: rasacd.sys Image Path: C:\WINDOWS\system32\DRIVERS\rasacd.sys Address: 0xF793F000 Size: 8832 File Visible: - Signed: - Status: - Name: rasl2tp.sys Image Path: C:\WINDOWS\system32\DRIVERS\rasl2tp.sys Address: 0xF7627000 Size: 51328 File Visible: - Signed: - Status: - Name: raspppoe.sys Image Path: C:\WINDOWS\system32\DRIVERS\raspppoe.sys Address: 0xF7637000 Size: 41472 File Visible: - Signed: - Status: - Name: raspptp.sys Image Path: C:\WINDOWS\system32\DRIVERS\raspptp.sys Address: 0xF7647000 Size: 48384 File Visible: - Signed: - Status: - Name: raspti.sys Image Path: C:\WINDOWS\system32\DRIVERS\raspti.sys Address: 0xF77C7000 Size: 16512 File Visible: - Signed: - Status: - Name: RAW Image Path: \FileSystem\RAW Address: 0x804D7000 Size: 2068352 File Visible: - Signed: - Status: - Name: rdbss.sys Image Path: C:\WINDOWS\system32\DRIVERS\rdbss.sys Address: 0xF358C000 Size: 175744 File Visible: - Signed: - Status: - Name: RDPCDD.sys Image Path: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys Address: 0xF79D3000 Size: 4224 File Visible: - Signed: - Status: - Name: redbook.sys Image Path: C:\WINDOWS\system32\DRIVERS\redbook.sys Address: 0xF7607000 Size: 57728 File Visible: - Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xBA2E6000 Size: 49152 File Visible: No Signed: - Status: - Name: RtkHDAud.sys Image Path: C:\WINDOWS\system32\drivers\RtkHDAud.sys Address: 0xF3763000 Size: 4792320 File Visible: - Signed: - Status: - Name: serenum.sys Image Path: C:\WINDOWS\system32\DRIVERS\serenum.sys Address: 0xF7947000 Size: 15744 File Visible: - Signed: - Status: - Name: serial.sys Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys Address: 0xF75C7000 Size: 65536 File Visible: - Signed: - Status: - Name: sr.sys Image Path: sr.sys Address: 0xF72DD000 Size: 73472 File Visible: - Signed: - Status: - Name: srv.sys Image Path: C:\WINDOWS\system32\DRIVERS\srv.sys Address: 0xBAABD000 Size: 333952 File Visible: - Signed: - Status: - Name: ssmdrv.sys Image Path: C:\WINDOWS\system32\DRIVERS\ssmdrv.sys Address: 0xF7847000 Size: 23040 File Visible: - Signed: - Status: - Name: swenum.sys Image Path: C:\WINDOWS\system32\DRIVERS\swenum.sys Address: 0xF799D000 Size: 4352 File Visible: - Signed: - Status: - Name: sysaudio.sys Image Path: C:\WINDOWS\system32\drivers\sysaudio.sys Address: 0xBAC9C000 Size: 60800 File Visible: - Signed: - Status: - Name: tcpip.sys Image Path: C:\WINDOWS\system32\DRIVERS\tcpip.sys Address: 0xF3601000 Size: 361600 File Visible: - Signed: - Status: - Name: TDI.SYS Image Path: C:\WINDOWS\system32\DRIVERS\TDI.SYS Address: 0xF77B7000 Size: 20480 File Visible: - Signed: - Status: - Name: termdd.sys Image Path: C:\WINDOWS\system32\DRIVERS\termdd.sys Address: 0xF7687000 Size: 40704 File Visible: - Signed: - Status: - Name: update.sys Image Path: C:\WINDOWS\system32\DRIVERS\update.sys Address: 0xF626F000 Size: 384768 File Visible: - Signed: - Status: - Name: USBD.SYS Image Path: C:\WINDOWS\system32\DRIVERS\USBD.SYS Address: 0xF799F000 Size: 8192 File Visible: - Signed: - Status: - Name: usbehci.sys Image Path: C:\WINDOWS\system32\DRIVERS\usbehci.sys Address: 0xF77AF000 Size: 30208 File Visible: - Signed: - Status: - Name: usbhub.sys Image Path: C:\WINDOWS\system32\DRIVERS\usbhub.sys Address: 0xF76D7000 Size: 59520 File Visible: - Signed: - Status: - Name: usbohci.sys Image Path: C:\WINDOWS\system32\DRIVERS\usbohci.sys Address: 0xF77A7000 Size: 17152 File Visible: - Signed: - Status: - Name: USBPORT.SYS Image Path: C:\WINDOWS\system32\DRIVERS\USBPORT.SYS Address: 0xF6B00000 Size: 147456 File Visible: - Signed: - Status: - Name: vga.sys Image Path: C:\WINDOWS\System32\drivers\vga.sys Address: 0xF782F000 Size: 20992 File Visible: - Signed: - Status: - Name: VIDEOPRT.SYS Image Path: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS Address: 0xF633A000 Size: 81920 File Visible: - Signed: - Status: - Name: VolSnap.sys Image Path: VolSnap.sys Address: 0xF74A7000 Size: 53760 File Visible: - Signed: - Status: - Name: wanarp.sys Image Path: C:\WINDOWS\system32\DRIVERS\wanarp.sys Address: 0xF7587000 Size: 34560 File Visible: - Signed: - Status: - Name: watchdog.sys Image Path: C:\WINDOWS\System32\watchdog.sys Address: 0xF7857000 Size: 20480 File Visible: - Signed: - Status: - Name: wdmaud.sys Image Path: C:\WINDOWS\system32\drivers\wdmaud.sys Address: 0xBA850000 Size: 83072 File Visible: - Signed: - Status: - Name: wdyafakj.sys Image Path: C:\DOKUME~1\User\LOKALE~1\Temp\wdyafakj.sys Address: 0xB9812000 Size: 81664 File Visible: No Signed: - Status: - Name: Win32k Image Path: \Driver\Win32k Address: 0xBF800000 Size: 1847296 File Visible: - Signed: - Status: - Name: win32k.sys Image Path: C:\WINDOWS\System32\win32k.sys Address: 0xBF800000 Size: 1847296 File Visible: - Signed: - Status: - Name: wmiacpi.sys Image Path: C:\WINDOWS\system32\DRIVERS\wmiacpi.sys Address: 0xF794F000 Size: 8832 File Visible: - Signed: - Status: - Name: WMILIB.SYS Image Path: C:\WINDOWS\system32\DRIVERS\WMILIB.SYS Address: 0xF7989000 Size: 8192 File Visible: - Signed: - Status: - Name: WMIxWDM Image Path: \Driver\WMIxWDM Address: 0x804D7000 Size: 2068352 File Visible: - Signed: - Status: - Name: WudfPf.sys Image Path: WudfPf.sys Address: 0xF72B3000 Size: 77568 File Visible: - Signed: - Status: - Ich habe grade auf C:\ Einen Order Namens Recylcer endeckt, der jedoch nicht zu löschen ist. Und eine Frage noch zum Gmer: Wo ist die Zwischenablage?? Vielen Dank schon mal für alle Coverflow! Geändert von sum.insanus (28.07.2009 um 20:57 Uhr) Grund: Hab was vergessen |
29.07.2009, 11:52 | #7 | |
/// Helfer-Team | Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. hi - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen 1. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` Code:
ATTFilter Vuze Toolbar - Alt + Strg + Entf drücken Taskmanager wird geöffnet - beende folgende Prozess/e im Taskmanager: Code:
ATTFilter AskService.exe ASKUpgrade.exe Start → Ausführen→ (schreibe rein) Services.msc -->OK "Eigenschaften"→ "Stop" → Starttyp "deaktiviert" auswählen: Code:
ATTFilter ASKService 4. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Zitat:
CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 6. → besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: Code:
ATTFilter C:\Dokumente und Einstellungen\User\Desktop\y19sjtem.exe → Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): |
30.07.2009, 14:38 | #8 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. So hier nochmal die gmr file: Code:
ATTFilter GMER 1.0.15.15011 [zkjqgwiv.exe] - http://www.gmer.net Rootkit scan 2009-07-30 15:18:35 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F7A8517E ZwCreateKey SSDT F7A85174 ZwCreateThread SSDT F7A85183 ZwDeleteKey SSDT F7A8518D ZwDeleteValueKey SSDT F7A85192 ZwLoadKey SSDT F7A85160 ZwOpenProcess SSDT F7A85165 ZwOpenThread SSDT F7A8519C ZwReplaceKey SSDT F7A85197 ZwRestoreKey SSDT F7A85188 ZwSetValueKey SSDT F7A8516F ZwTerminateProcess ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd6011fe Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd6011fe@0017d581bec1 0x24 0xD0 0x84 0x38 ... Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0009dd6011fe (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0009dd6011fe@0017d581bec1 0x24 0xD0 0x84 0x38 ... Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.15 ---- Und hier die Auswertung von VirusTotal: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.07.30 - AhnLab-V3 5.0.0.2 2009.07.30 - AntiVir 7.9.0.234 2009.07.30 - Antiy-AVL 2.0.3.7 2009.07.30 - Authentium 5.1.2.4 2009.07.30 - Avast 4.8.1335.0 2009.07.29 - AVG 8.5.0.387 2009.07.30 - BitDefender 7.2 2009.07.30 - CAT-QuickHeal 10.00 2009.07.30 - ClamAV 0.94.1 2009.07.30 - Comodo 1813 2009.07.30 - DrWeb 5.0.0.12182 2009.07.30 - eSafe 7.0.17.0 2009.07.29 Suspicious File eTrust-Vet 31.6.6647 2009.07.30 - F-Prot 4.4.4.56 2009.07.30 - F-Secure 8.0.14470.0 2009.07.30 - Fortinet 3.120.0.0 2009.07.30 - GData 19 2009.07.30 - Ikarus T3.1.1.64.0 2009.07.30 - Jiangmin 11.0.800 2009.07.30 - K7AntiVirus 7.10.805 2009.07.29 - Kaspersky 7.0.0.125 2009.07.30 - McAfee 5692 2009.07.29 - McAfee+Artemis 5692 2009.07.29 - McAfee-GW-Edition 6.8.5 2009.07.30 - Microsoft 1.4903 2009.07.30 - NOD32 4290 2009.07.30 - Norman 6.01.09 2009.07.29 - nProtect 2009.1.8.0 2009.07.30 - PCTools 4.4.2.0 2009.07.29 - Prevx 3.0 2009.07.30 - Rising 21.40.34.00 2009.07.30 - Sophos 4.44.0 2009.07.30 - Sunbelt 3.2.1858.2 2009.07.29 - TheHacker 6.3.4.3.378 2009.07.30 - TrendMicro 8.950.0.1094 2009.07.30 - VBA32 3.12.10.9 2009.07.30 - ViRobot 2009.7.30.1861 2009.07.30 - VirusBuster 4.6.5.0 2009.07.29 - weitere Informationen File size: 287232 bytes MD5...: 6e1f81ada8e5f604b9eda64fd527edd8 SHA1..: 27e261803fd000bb664bd07fde88ff964c9dd975 SHA256: a6598db42305dc319da36449a1815ea998ef37c0a886d05b37e7dfa9c89cb9a5 ssdeep: 6144:ywfGbK24VzDlvyBnJgYoWizw58bfhOl7eY1yiCJLiH+KK:X2UoBKZPw5oa1 yBBieKK PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xb06d0 timedatestamp.....: 0x4a7164f5 (Thu Jul 30 09:16:37 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x6b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x6c000 0x45000 0x44a00 7.93 6de58ecc12bd55b0ce6fc59354679385 .rsrc 0xb1000 0x2000 0x1400 3.38 cacc80002a9c5fb03f1da22f68115cd6 ( 1 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch packers (F-Prot): UPX |
30.07.2009, 15:02 | #9 |
/// Helfer-Team | Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Ich möchte, dass die Ergebnisse die Dateiname auch beinhaltet! Beispiel - das zu postende logfile von virustotal soll so wie hier aussehen : Code:
ATTFilter Datei y19sjtem.exe empfangen 2009.xx.xx xx:xx:xx (CET) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2009.01.28 - AhnLab-V3 5.0.0.2 2009.01.28 - AntiVir 7.9.0.60 2009.01.28 - Authentium 5.1.0.4 2009.01.27 - Avast 4.8.1281.0 2009.01.27 - AVG 8.0.0.229 2009.01.28 - |
30.07.2009, 16:50 | #10 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Ich bitte vielmals um Entschuldigung für meine Dämlichkeiten Code:
ATTFilter Datei zkjqgwiv.exe empfangen 2009.07.30 15:49:41 (UTC) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.07.30 - AhnLab-V3 5.0.0.2 2009.07.30 - AntiVir 7.9.0.236 2009.07.30 - Antiy-AVL 2.0.3.7 2009.07.30 - Authentium 5.1.2.4 2009.07.30 - Avast 4.8.1335.0 2009.07.29 - AVG 8.5.0.387 2009.07.30 - BitDefender 7.2 2009.07.30 - CAT-QuickHeal 10.00 2009.07.30 - ClamAV 0.94.1 2009.07.30 - Comodo 1813 2009.07.30 - DrWeb 5.0.0.12182 2009.07.30 - eSafe 7.0.17.0 2009.07.30 Suspicious File eTrust-Vet 31.6.6647 2009.07.30 - F-Prot 4.4.4.56 2009.07.30 - F-Secure 8.0.14470.0 2009.07.30 - Fortinet 3.120.0.0 2009.07.30 - GData 19 2009.07.30 - Ikarus T3.1.1.64.0 2009.07.30 - Jiangmin 11.0.800 2009.07.30 - K7AntiVirus 7.10.806 2009.07.30 - Kaspersky 7.0.0.125 2009.07.30 - McAfee 5692 2009.07.29 - McAfee+Artemis 5692 2009.07.29 - McAfee-GW-Edition 6.8.5 2009.07.30 - Microsoft 1.4903 2009.07.30 - NOD32 4291 2009.07.30 - Norman 6.01.09 2009.07.30 - nProtect 2009.1.8.0 2009.07.30 - PCTools 4.4.2.0 2009.07.29 - Prevx 3.0 2009.07.30 - Rising 21.40.34.00 2009.07.30 - Sophos 4.44.0 2009.07.30 - Sunbelt 3.2.1858.2 2009.07.29 - Symantec 1.4.4.12 2009.07.30 - TheHacker 6.3.4.3.378 2009.07.30 - TrendMicro 8.950.0.1094 2009.07.30 - VBA32 3.12.10.9 2009.07.30 - ViRobot 2009.7.30.1861 2009.07.30 - VirusBuster 4.6.5.0 2009.07.30 - weitere Informationen File size: 287232 bytes MD5...: 6e1f81ada8e5f604b9eda64fd527edd8 SHA1..: 27e261803fd000bb664bd07fde88ff964c9dd975 SHA256: a6598db42305dc319da36449a1815ea998ef37c0a886d05b37e7dfa9c89cb9a5 ssdeep: 6144:ywfGbK24VzDlvyBnJgYoWizw58bfhOl7eY1yiCJLiH+KK:X2UoBKZPw5oa1 yBBieKK PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xb06d0 timedatestamp.....: 0x4a7164f5 (Thu Jul 30 09:16:37 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x6b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x6c000 0x45000 0x44a00 7.93 6de58ecc12bd55b0ce6fc59354679385 .rsrc 0xb1000 0x2000 0x1400 3.38 cacc80002a9c5fb03f1da22f68115cd6 ( 1 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch packers (F-Prot): UPX |
31.07.2009, 22:55 | #11 |
/// Helfer-Team | Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. was passiert wenn Du bei Virustotal die Datei "y19sjtem.exe" reinkopierst? wird "zkjqgwiv.exe " geprüft? nämlich stammt von Gmer, also nicht schädlich schaue mal nach was unter Eigenschaften steht: "y19sjtem.exe" Erstelldatum usw Geändert von kira (31.07.2009 um 23:03 Uhr) |
Themen zu Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. |
adobe, antivir, avg, avgnt.exe, avira, browser, combofix, desktop, einstellungen, explorer, festplatte, helper, home, installation, internet, internet explorer, log-file, malware, nicht gefunden, opera, problem, scan, sched.exe, security, software, suchlauf, system, windows, windows recovery, windows xp |