Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
win32.trojandropper.joiner und win32.trojanproxy.ranky

win32.trojandropper.joiner und win32.trojanproxy.ranky


Log-Analyse und Auswertung: win32.trojandropper.joiner und win32.trojanproxy.ranky

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 30.07.2009, 08:55   #1
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Cool

win32.trojandropper.joiner und win32.trojanproxy.ranky


Leider hab ich wohl ein paar kleinere (oder auch größere?) Probleme mit kleinen Schmarotzern. Erkannt hat er mir win32.trojanproxy.ranky schon vor einigen Wochen über adaware. hab eben entdeckt das ihr davon wohl gar nicht begeistert seid und werd mich im laufe des tages um löschung kümmern. die tage dachte ich mir dann mal, nachdem mein firefox plötzlich beim mail löschen neue tabs öffnete, mein onlinebanking nicht mehr reagierte und der rechner in meinem gefühl immer langsamer wurde das ich wohl doch noch was drauf hab und mich mal intensiver damit auseinander setzen sollte.

gelöscht bzw in quarantäne hat er mir beide trojaner geworfen wobei ich jetzt im nachhinein nicht mehr sagen könnte welches programm/schritt dazu geführt hat. euer verlinktes super anti spyware meldet aktuell nichts ausser ein paar cookies. der rechner wird seit jeher brav mit CCleaner und händisch bereinigt und defragmentiert. fürs internet nutze ich ausschließlich firefox... die tage hab ich fürs mail lesen dann opera ausprobiert nachdem firefox mich so geärgert hat. achja... und mein virenproggi mcafee hat den quatsch nicht mal entdeckt

Code:
ATTFilter
Betriebssystemname	Microsoft Windows XP Professional
Version	5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller	Microsoft Corporation
Systemname	COMPUTER-801
Systemhersteller	System manufacturer
Systemmodell	System Product Name
Systemtyp	X86-basierter PC
Prozessor	x86 Family 16 Model 2 Stepping 3 AuthenticAMD ~2606 Mhz
BIOS-Version/-Datum	American Megatrends Inc. 0306, 27.08.2008
SMBIOS-Version	2.5
Windows-Verzeichnis	C:\WINDOWS
Systemverzeichnis	C:\WINDOWS\system32
Startgerät	\Device\HarddiskVolume1
Gebietsschema	Deutschland
Hardwareabstraktionsebene	Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername	COMPUTER-801\User
Zeitzone	Westeuropäische Normalzeit
Gesamter realer Speicher	4.096,00 MB
Verfügbarer realer Speicher	2,52 GB
Gesamter virtueller Speicher	2,00 GB
Verfügbarer virtueller Speicher	1,96 GB
Größe der Auslagerungsdatei	7,09 GB
Auslagerungsdatei	C:\pagefile.sys

und hier noch hijack this:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:15:03, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Belkin\F1U201.401\usbshare.exe
C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\MSM\McSmtFwk.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.search.yahoo.com/search?fr=mcafee&p=%s
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F1U201.401.lnk = ?
O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ?
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8300 bytes

ich hoffe ich hab jetzt nix vergessen.
und danke schonmal fürs ansehen

Alt 30.07.2009, 12:31   #2
Larusso
/// Selecta Jahrusso
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky




Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
Code:
ATTFilter
deine Logfile
schritt 1

Wende bitte Malwarebytes nach Anleitung an.


schritt 2
  • Lade Random's System Information Tool (RSIT) herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt


schritt 3
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!
__________________

__________________
Alt 30.07.2009, 14:12   #3
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky


so aye aye sir... teil 1 und 2 sind fertig... teil 3 folgt gleich

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2529
Windows 5.1.2600 Service Pack 3

30.07.2009 14:55:33
mbam-log-2009-07-30 (14-55-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 197272
Laufzeit: 47 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by User at 2009-07-30 15:00:20
Microsoft Windows XP Professional Service Pack 3
System drive C: has 17 GB (34%) free of 50 GB
Total RAM: 3327 MB (82% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:27, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Belkin\F1U201.401\usbshare.exe
C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Dokumente und Einstellungen\User\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\User.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F1U201.401.lnk = ?
O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ?
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7641 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\McDefragTask.job
C:\WINDOWS\tasks\McQcTask.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}]
McAfee Phishing Filter - c:\PROGRA~1\mcafee\msk\mskapbho.dll [2009-01-09 246800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
scriptproxy - C:\Programme\McAfee\VirusScan\scriptsn.dll [2009-03-25 62784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}]
McAfee SiteAdvisor BHO - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-02-13 150032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - McAfee SiteAdvisor Toolbar - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-02-13 150032]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mcagent_exe"=C:\Programme\McAfee.com\Agent\mcagent.exe [2009-01-08 645328]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-06-12 17887232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe [2009-06-29 520024]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
C:\WINDOWS\ALCMTR.EXE [2009-03-02 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2009-05-11 24064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2004-09-13 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\Nero\Nero 7\InCD\InCD.exe [2007-11-26 1057064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
C:\Programme\Microsoft IntelliPoint\ipoint.exe [2006-06-16 568096]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itype]
C:\Programme\Microsoft IntelliType Pro\itype.exe [2006-06-16 555816]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2009-06-17 2363392]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2007-03-01 153136]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2009-02-26 2376992]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe [2009-05-26 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe [2007-11-26 1629480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2009-07-16 25604904]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe /startoptions []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-03-17 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-06-23 1830128]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe [2004-11-04 258048]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~4\Office\OSA9.EXE [1999-04-30 65588]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
F1U201.401.lnk - C:\Programme\Belkin\F1U201.401\usbshare.exe
WL-142 Wireless Network Utility.lnk - C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-03-16 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoRun"=
"NoFolderOptions"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe"="C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Curse\CurseClient.exe"="C:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{60431305-864e-11dd-9e88-002215860d8b}]
shell\AutoRun\command - F:\Programs\ShadowProtectPE\ShadowProtectPE.exe
shell\verb\command - F:\Programs\ShadowProtectPE\ShadowProtectPE.exe


======List of files/folders created in the last 1 months======

2009-07-30 15:00:20 ----D---- C:\rsit
2009-07-30 14:01:01 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
2009-07-30 14:00:55 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-30 14:00:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-30 09:14:50 ----D---- C:\Programme\Trend Micro
2009-07-28 12:27:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-28 12:27:22 ----D---- C:\Programme\SUPERAntiSpyware
2009-07-28 12:27:22 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-28 12:27:04 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-27 13:59:23 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera
2009-07-27 13:59:08 ----D---- C:\Programme\Opera
2009-07-26 21:16:06 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\skypePM
2009-07-26 21:00:14 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Skype
2009-07-26 20:59:16 ----D---- C:\Programme\Gemeinsame Dateien\Skype
2009-07-26 20:59:11 ----RD---- C:\Programme\Skype
2009-07-26 20:59:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-07-24 13:18:38 ----A---- C:\WINDOWS\Iedit_.INI
2009-07-21 09:36:48 ----D---- C:\Programme\QuickTime
2009-07-21 09:36:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-07-21 09:36:33 ----D---- C:\Programme\Apple Software Update
2009-07-21 09:36:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-07-19 14:47:28 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Ulead Systems
2009-07-19 13:07:56 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2009-07-19 13:05:29 ----D---- C:\Programme\Ulead Systems
2009-07-19 13:05:28 ----N---- C:\WINDOWS\system32\ROBOEX32.DLL
2009-07-19 13:05:28 ----N---- C:\WINDOWS\system32\INETWH32.dll
2009-07-19 13:05:26 ----D---- C:\Programme\Gemeinsame Dateien\Ulead Systems
2009-07-18 11:04:55 ----D---- C:\Programme\Engelmann Media
2009-07-18 11:04:55 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Engelmann Media
2009-07-16 09:19:58 ----A---- C:\WINDOWS\system32\iacenc.dll
2009-07-16 09:13:14 ----A---- C:\WINDOWS\IsUn0407.exe
2009-07-15 13:30:35 ----D---- C:\Programme\directx
2009-07-15 13:04:50 ----A---- C:\WINDOWS\system32\d3dx10_41.dll
2009-07-15 13:04:50 ----A---- C:\WINDOWS\system32\D3DCompiler_41.dll
2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\XAudio2_4.dll
2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\XAPOFX1_3.dll
2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\D3DX9_41.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\xactengine3_4.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\X3DAudio1_6.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\d3dx10_40.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\D3DCompiler_40.dll
2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\XAudio2_3.dll
2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\XAPOFX1_2.dll
2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\D3DX9_40.dll
2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\XAPOFX1_1.dll
2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\xactengine3_3.dll
2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\X3DAudio1_5.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\XAudio2_2.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\xactengine3_2.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\d3dx10_39.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\D3DCompiler_39.dll
2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\XAudio2_1.dll
2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\XAPOFX1_0.dll
2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\xactengine3_1.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\X3DAudio1_4.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\d3dx10_38.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\D3DCompiler_38.dll
2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\XAudio2_0.dll
2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\xactengine3_0.dll
2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\D3DX9_38.dll
2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll
2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2009-07-15 13:04:40 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2009-07-15 13:04:40 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\xactengine2_8.dll
2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\X3DAudio1_2.dll
2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2009-07-15 13:04:36 ----A---- C:\WINDOWS\system32\d3dx10_34.dll
2009-07-15 13:04:36 ----A---- C:\WINDOWS\system32\D3DCompiler_34.dll
2009-07-15 13:04:35 ----A---- C:\WINDOWS\system32\d3dx9_34.dll
2009-07-15 13:03:33 ----D---- C:\WINDOWS\Logs
2009-07-15 11:02:59 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-15 11:02:54 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-15 11:01:36 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-15 10:45:02 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-10 13:16:42 ----A---- C:\WINDOWS\system32\HDX4ImageProcessor.dll
__________________
Alt 30.07.2009, 14:13   #4
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky


hier der rest vom (ich glaub es war log.txt)

Code:
ATTFilter
======List of files/folders modified in the last 1 months======

2009-07-30 15:00:13 ----D---- C:\WINDOWS\Prefetch
2009-07-30 14:59:48 ----D---- C:\WINDOWS\Temp
2009-07-30 14:57:45 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-30 14:06:51 ----D---- C:\WINDOWS\system32
2009-07-30 14:06:51 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-30 14:03:46 ----D---- C:\Programme\Mozilla Firefox
2009-07-30 14:00:57 ----D---- C:\WINDOWS\system32\drivers
2009-07-30 14:00:55 ----RD---- C:\Programme
2009-07-30 09:49:33 ----SHD---- C:\WINDOWS\Installer
2009-07-30 09:49:28 ----D---- C:\Programme\GfK Internet-Monitor 2.0
2009-07-29 20:11:00 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\teamspeak2
2009-07-29 16:08:35 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-29 16:05:24 ----D---- C:\WINDOWS
2009-07-29 12:34:56 ----D---- C:\WINDOWS\inf
2009-07-29 12:34:49 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-29 12:34:47 ----D---- C:\WINDOWS\system32\de-de
2009-07-29 12:34:47 ----D---- C:\Programme\Internet Explorer
2009-07-29 12:34:33 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-29 11:18:34 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla
2009-07-28 15:57:14 ----AH---- C:\boot.ini
2009-07-28 15:57:14 ----A---- C:\WINDOWS\win.ini
2009-07-28 15:57:14 ----A---- C:\WINDOWS\system.ini
2009-07-28 12:27:04 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-25 19:50:24 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Corel
2009-07-19 20:33:20 ----D---- C:\Programme\ICQ6.5
2009-07-19 15:25:34 ----A---- C:\WINDOWS\system32\mshtml.dll
2009-07-19 15:25:30 ----A---- C:\WINDOWS\system32\ieframe.dll
2009-07-19 13:07:45 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-19 13:05:26 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-07-19 13:05:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-07-19 13:05:25 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-07-18 23:06:27 ----D---- C:\Programme\World of Warcraft
2009-07-18 13:06:05 ----D---- C:\Programme\Gemeinsame Dateien\LightScribe
2009-07-15 19:44:21 ----D---- C:\Programme\WinRAR
2009-07-15 14:24:24 ----D---- C:\Programme\Easy CD-DA Extractor 11
2009-07-15 14:24:18 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-15 14:23:02 ----D---- C:\WINDOWS\WinSxS
2009-07-15 14:22:00 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-15 14:19:44 ----D---- C:\Programme\Windows Live
2009-07-15 14:19:24 ----RSD---- C:\WINDOWS\assembly
2009-07-15 14:17:20 ----D---- C:\Programme\XP-Clean Express
2009-07-15 14:16:49 ----AC---- C:\WINDOWS\system32\polynet.dll
2009-07-15 14:15:25 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Move Networks
2009-07-15 13:04:51 ----D---- C:\WINDOWS\system32\DirectX
2009-07-15 11:10:34 ----D---- C:\WINDOWS\Debug
2009-07-10 17:44:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2009-07-10 17:38:48 ----D---- C:\Programme\McAfee
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-04 10:51:44 ----D---- C:\WINDOWS\system32\ReinstallBackups

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2007-12-17 12400]
R1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [2007-11-26 36776]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys [2007-11-26 38440]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 mfehidk;McAfee Inc. mfehidk; C:\WINDOWS\system32\drivers\mfehidk.sys [2009-03-25 214024]
R1 MPFP;MPFP; C:\WINDOWS\System32\Drivers\Mpfp.sys [2008-10-23 120136]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2005-03-01 15781]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-03-16 3597312]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2008-05-20 93696]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-07-15 51120]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-07-15 16496]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-07-15 21744]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-06-16 5095936]
R3 mfeavfk;McAfee Inc. mfeavfk; C:\WINDOWS\system32\drivers\mfeavfk.sys [2009-03-25 79880]
R3 mfebopk;McAfee Inc. mfebopk; C:\WINDOWS\system32\drivers\mfebopk.sys [2009-03-25 35272]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 NuidFltr;NUID filter driver; C:\WINDOWS\system32\DRIVERS\NuidFltr.sys [2009-05-09 14736]
R3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2006-06-02 21760]
R3 sitwl142;Sitecom WL-142 Driver; C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [2005-03-01 344032]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 Wdf01000;Kernel Mode Driver Frameworks service; C:\WINDOWS\System32\Drivers\wdf01000.sys [2008-03-27 503008]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [2007-11-26 118952]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 mferkdk;McAfee Inc. mferkdk; C:\WINDOWS\system32\drivers\mferkdk.sys [2009-03-25 34216]
S3 mfesmfk;McAfee Inc. mfesmfk; C:\WINDOWS\system32\drivers\mfesmfk.sys [2009-03-25 40552]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2009-02-09 17664]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-02-09 22016]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2009-03-19 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic; C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2009-03-19 8320]
S3 optousb;OPTO ELECTRONICS optousb; C:\WINDOWS\system32\DRIVERS\optousb.sys [2008-04-04 18432]
S3 optovcm;OPTO ELECTRONICS optovcm; C:\WINDOWS\system32\DRIVERS\optovcm.sys [2008-04-04 26368]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 se44bus;Sony Ericsson Device 068 driver (WDM); C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 9360]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 97088]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 88624]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS); C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 18704]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 86432]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM); C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 90800]
S3 se45bus;Sony Ericsson Device 069 driver (WDM); C:\WINDOWS\system32\DRIVERS\se45bus.sys [2006-11-30 61536]
S3 se45mdfl;Sony Ericsson Device 069 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se45mdfl.sys [2006-11-30 9360]
S3 se45mdm;Sony Ericsson Device 069 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se45mdm.sys [2006-11-30 97088]
S3 se45mgmt;Sony Ericsson Device 069 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se45mgmt.sys [2006-11-30 88624]
S3 se45nd5;Sony Ericsson Device 069 USB Ethernet Emulation SEMC45 (NDIS); C:\WINDOWS\system32\DRIVERS\se45nd5.sys [2006-11-30 18704]
S3 se45obex;Sony Ericsson Device 069 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se45obex.sys [2006-11-30 86432]
S3 se45unic;Sony Ericsson Device 069 USB Ethernet Emulation SEMC45 (WDM); C:\WINDOWS\system32\DRIVERS\se45unic.sys [2006-11-30 90800]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-02-09 7808]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbser;USB Modem Driver; C:\WINDOWS\system32\drivers\usbser.sys [2008-04-14 26112]
S3 UsbserFilt;UsbserFilt; C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-02-09 7808]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]
S3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-04-29 288896]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-03-16 602112]
R2 CCALib8;Canon Camera Access Library 8; C:\Programme\Canon\CAL\CALMAIN.exe [2007-01-31 96370]
R2 InCDsrv;InCD Helper; C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe [2007-11-26 1554728]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-06-29 1029456]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2009-06-17 73728]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service; C:\Programme\McAfee\SiteAdvisor\McSACore.exe [2009-02-11 210216]
R2 mcmscsvc;McAfee Services; C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe [2009-01-08 797864]
R2 McNASvc;McAfee Network Agent; c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe [2009-01-09 2482848]
R2 McProxy;McAfee Proxy Service; c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe [2009-01-09 359952]
R2 McShield;McAfee Real-time Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe [2009-03-25 144704]
R2 MpfService;McAfee Personal Firewall Service; C:\Programme\McAfee\MPF\MPFSrv.exe [2009-03-19 884360]
R2 MSK80Service;McAfee Anti-Spam Service; C:\Programme\McAfee\MSK\MskSrver.exe [2009-01-09 26640]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
R2 ProtexisLicensing;ProtexisLicensing; C:\WINDOWS\system32\PSIService.exe [2006-11-02 174656]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-03-17 593920]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 MBackMonitor;MBackMonitor; C:\Programme\McAfee\MBK\MBackMonitor.exe [2009-01-09 68112]
S3 McODS;McAfee Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe [2009-04-01 365072]
S3 McSysmon;McAfee SystemGuards; C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe [2009-03-24 606736]
S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-09-17 800040]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848]
S3 ServiceLayer;ServiceLayer; D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe [2009-03-04 621056]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Alt 30.07.2009, 14:14   #5
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky


und jetzt noch die info.txt

Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2009-07-30 15:00:29

======Uninstall list======

-->C:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\NuNInst.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2x1/4x1 USB Peripheral Switch-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A3752427-9AAA-4B1C-B428-01723E0E9FFA}\SETUP.EXE" 
Ad-Aware-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ASUSUpdate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\setup.exe" -l0x7 
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
ATI Parental Control & Encoder-->MsiExec.exe /I{9862B19F-4CAD-4EED-920F-2F378D84393F}
Canon Camera Access Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CAL\Uninst.ini"
Canon Camera Support Core Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CSCLIB\Uninst.ini"
Canon EOS 5D WIA-Treiber-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{BB3AB664-D92B-4CB5-8B3E-D841841F4E68} /l1031 
CANON iMAGE GATEWAY Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CRWUnInstall.ini"
Canon Internet Library for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CIGUnInstall.ini"
Canon RAW Image Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\RAW Image Task\Uninst.ini"
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC\Uninst.ini"
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC6\Uninst.ini"
Canon Utilities CameraWindow-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowLauncher\Uninst.ini"
Canon Utilities Digital Photo Professional 3.4-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Digital Photo Professional\Uninst.ini"
Canon Utilities EOS Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\EOS Utility\Uninst.ini"
Canon Utilities MyCamera-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\MyCamera\Uninst.ini"
Canon Utilities Original Data Security Tools-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Original Data Security Tools\Uninst.ini"
Canon Utilities PhotoStitch-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\PhotoStitch\Uninst.ini"
Canon Utilities Picture Style Editor-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Picture Style Editor\Uninst.ini"
Canon Utilities RemoteCapture Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\RemoteCaptureTask DC\Uninst.ini"
Canon Utilities WFT-E1/E2/E3 Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\WFT Utility\Uninst.ini"
Canon Utilities ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\Uninst.ini"
Canon ZoomBrowser EX Memory Card Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX MCU\Uninst.ini"
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Corel Paint Shop Pro Photo XI-->MsiExec.exe /X{E1C7EF5E-3A7B-4ED4-A48B-F70F1B36EAB4}
Curse Client-->C:\Programme\Curse\uninstall.exe
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
Fotostory 3 für Windows-->MsiExec.exe /I{4F41AD68-89F2-4262-A32C-2F70B01FCE9E}
Free Audio Dub version 1.4-->"C:\Programme\DVDVideoSoft\Free Audio Dub\unins000.exe"
Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP Image Zone Express-->MsiExec.exe /X{85BCA736-A0F4-448E-9BC1-6EA08693E10B}
HP PSC & OfficeJet 4.7-->"C:\Programme\HP\Digital Imaging\{342C7C88-D335-4bc2-8CF1-281857629CE2}\setup\hpzscr01.exe" -datfile hposcr05.dat
HP Software Update-->MsiExec.exe /X{64FC0C98-B035-4530-B15D-3D30610B6DF1}
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
LightScribe System Software-->MsiExec.exe /X{82EF29B1-9B60-4142-A155-0599216DD053}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver-->C:\Programme\Marvell\Miniport Driver\Uninst.exe
McAfee SecurityCenter-->C:\Programme\McAfee\MSC\mcuninst.exe
MediaMonkey 3.0-->"C:\Programme\MediaMonkey\unins000.exe"
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 Premium-->MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
MobMap 3.20-->"C:\Programme\MobMapUpdater\unins000.exe"
Mozilla Firefox (3.5.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MRUClear 1.6-->MsiExec.exe /X{101DFCB2-9734-455B-8BDE-E4AB02ED90FC}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 7 Essentials-->MsiExec.exe /X{1596098A-FCEC-48F0-B7C7-08A31B771031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nokia Connectivity Cable Driver-->MsiExec.exe /I{82427977-8776-4087-90CA-9F65174D3C4D}
Nokia Flashing Cable Driver-->MsiExec.exe /X{A4E0CA0F-1903-440A-9B98-FEA6CB049999}
Nokia Music-->MsiExec.exe /I{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}
Nokia Ovi Application Installer 6.85.3011-->msiexec /qn /x {42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Application Installer-->MsiExec.exe /I{42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Content Copier 6.85.3011-->msiexec /qn /x {6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi Content Copier-->MsiExec.exe /X{6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi One Touch Access 6.85.3011-->msiexec /qn /x {4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi One Touch Access-->MsiExec.exe /I{4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi Suite-->MsiExec.exe /I{B5264B25-8908-49BB-A708-5A70DFBF8094}
Nokia Ovi System Utilities 6.85.3016-->msiexec /qn /x {FF34EA62-92C1-41E6-BA64-B2B7ECB53737}
Nokia Ovi System Utilities-->MsiExec.exe /X{FF34EA62-92C1-41E6-BA64-B2B7ECB53737}
Nokia Photos-->MsiExec.exe /I{D3656CE3-0F62-447F-AEF3-9BF29B6197D9}
Nokia Software Updater-->MsiExec.exe /X{7169FA93-66C2-43BD-86E0-CD332A686B29}
OpenOffice.org 2.4-->MsiExec.exe /I{CCD90636-D97D-4130-A44A-3AD4E63B9220}
Opera 9.64-->MsiExec.exe /X{E1BBBAC5-2857-4155-82A6-54492CE88620}
Panel Client 3.2-->"C:\Programme\Panel Client\unins000.exe"
PC Connectivity Solution-->MsiExec.exe /I{B7CB0BF3-791E-44D3-9F04-786E36D51C9D}
PC Probe II-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F7338FA3-DAB5-49B2-900D-0AFB5760C166}\setup.exe" -l0x7 
Photomizer-->MsiExec.exe /X{A00F8237-F496-44D2-0001-E3CCF8CD58AE}
PokerStars-->"C:\Programme\PokerStars\PokerStarsUninstall.exe" /u:PokerStars
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Shape Collage-->C:\Programme\Shape Collage\uninstall.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\setup.exe" -l0x7 
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Windows Driver Package - OPTO ELECTRONICS CO.,LTD (optousb) Ports  (06/02/2008 2.0.5.5)-->C:\PROGRA~1\DIFX\7F01D4C0B2897E27\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\optousb_B4BF16D6AA4E4280B2969769E5DD04B1DF3D9CAD\optousb.inf
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
WL-142 Wireless Network Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{20278679-B213-495B-B20D-4DC4856401C6}\Setup.exe" -l0x9 
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe

======Security center information======

AV: McAfee VirusScan
FW: McAfee Personal Firewall

======System event log======

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 13797
Source Name: Service Control Manager
Time Written: 20090624100243.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Beendet".

Record Number: 13796
Source Name: Service Control Manager
Time Written: 20090624100240.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet.

Record Number: 13795
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt".

Record Number: 13794
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 13793
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: COMPUTER-801
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 4562
Source Name: LoadPerf
Time Written: 20090430191219.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 4099
Message: Dienst konnte nicht geöffnet werden.

Record Number: 4561
Source Name: WmiAdapter
Time Written: 20090430190841.000000+120
Event Type: Fehler
User: VORDEFINIERT\Administratoren

Computer Name: COMPUTER-801
Event Code: 5000
Message: McShield-Dienst gestartet.

Modulversion: 5301.4018

DAT-Version: 5600.0000



Anzahl an Signaturen in EXTRA.DAT: None

Namen der Bedrohungen, die EXTRA.DAT entdecken kann: None

Record Number: 4560
Source Name: McLogEvent
Time Written: 20090430190839.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTER-801
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 4559
Source Name: SecurityCenter
Time Written: 20090430190819.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 0
Message: 
Record Number: 4558
Source Name: McAfee SiteAdvisor Service
Time Written: 20090430190811.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=D:\Programme\Nokia\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\Gemeinsame Dateien\Teleca Shared;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=16
"PROCESSOR_IDENTIFIER"=x86 Family 16 Model 2 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=0203
"NUMBER_OF_PROCESSORS"=4
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------


Alt 30.07.2009, 15:43   #6
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky


so und hier nun der letzte teil

Code:
ATTFilter
GMER 1.0.15.15011 [301nj19s.exe] - http://www.gmer.net
Rootkit scan 2009-07-30 16:35:17
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                             ZwCreateKey [0xF74F787E]
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                             ZwSetValueKey [0xF74F7BFE]

Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateFile [0xEEA534EA]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcess [0xEEA53498]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcessEx [0xEEA534AC]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwMapViewOfSection [0xEEA5352A]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenProcess [0xEEA53470]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenThread [0xEEA53484]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwProtectVirtualMemory [0xEEA534FE]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetContextThread [0xEEA534D6]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetInformationProcess [0xEEA534C2]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwTerminateProcess [0xEEA53559]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwUnmapViewOfSection [0xEEA53540]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwYieldExecution [0xEEA53514]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtCreateFile
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtMapViewOfSection
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenProcess
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenThread
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtSetInformationProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwYieldExecution                                                                 80504AE8 7 Bytes  JMP EEA53518 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtCreateFile                                                                     80579084 5 Bytes  JMP EEA534EE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtMapViewOfSection                                                               805B2006 7 Bytes  JMP EEA5352E \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwUnmapViewOfSection                                                             805B2E14 5 Bytes  JMP EEA53544 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwProtectVirtualMemory                                                           805B83E6 7 Bytes  JMP EEA53502 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenProcess                                                                    805CB408 5 Bytes  JMP EEA53474 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenThread                                                                     805CB694 5 Bytes  JMP EEA53488 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtSetInformationProcess                                                          805CDE52 5 Bytes  JMP EEA534C6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                805D1142 7 Bytes  JMP EEA534B0 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcess                                                                  805D11F8 5 Bytes  JMP EEA5349C \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwSetContextThread                                                               805D1702 5 Bytes  JMP EEA534DA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwTerminateProcess                                                               805D29AA 5 Bytes  JMP EEA5355D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 00CE0000 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00CE0073 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00CE0F7E 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00CE0062 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00CE0051 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00CE0FC0 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 00CE00C6 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 00CE009F 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 00CE0F3E 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 00CE00E1 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00CE00F2 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00CE0FAF 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 00CE0011 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00CE0084 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00CE002C 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 00CE0FDB 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 00CE0F63 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 00CD0FCA 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 00CD0F94 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 00CD001B 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 00CD0FE5 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 00CD0FAF 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 00CD0000 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 5 Bytes  JMP 00CD0051 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 00CD002C 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00CC0F9C 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00CC0FB7 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 00CC001D 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 00CC0FEF 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 00CC0FD2 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 00CC000C 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 0007000A 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00070F83 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00070F9E 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00070FB9 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00070076 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00070040 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 0007009D 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00070F55 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00070F1F 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00070F44 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00070F0E 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 0007005B 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00070FE5 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00070F72 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00070FD4 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 0007001B 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 000700B8 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00060036 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00060087 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00060025 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00060FEF 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00060FCA 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 0006000A 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 0006006C 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00060047 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 0005002C 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 00050F97 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00050FC3 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00050FEF 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00050FA8 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00050FDE 
.text           C:\WINDOWS\system32\services.exe[640] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00040FEF 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateFileA                                   7C801A28 5 Bytes  JMP 00F4000A 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 00F40F7C 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 00F40F8D 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 00F40FA8 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 00F40FC3 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 00F40FE5 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetStartupInfoW                               7C801E54 5 Bytes  JMP 00F40F3A 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetStartupInfoA                               7C801EF2 5 Bytes  JMP 00F40F61 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 00F400B8 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 00F4009D 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 00F400C9 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 00F40FD4 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateFileW                                   7C810800 5 Bytes  JMP 00F40025 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreatePipe                                    7C81D83F 5 Bytes  JMP 00F4008C 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 00F40047 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 00F40036 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!WinExec                                       7C86250D 5 Bytes  JMP 00F40F1F 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyExW                                 77DA6AAF 5 Bytes  JMP 00F3001B 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyExW                               77DA776C 5 Bytes  JMP 00F3006C 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyExA                                 77DA7852 5 Bytes  JMP 00F30000 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyW                                   77DA7946 5 Bytes  JMP 00F30FD4 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyExA                               77DAE9F4 5 Bytes  JMP 00F30051 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyA                                   77DAEFC8 5 Bytes  JMP 00F30FEF 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyW                                 77DCBA55 5 Bytes  JMP 00F30036 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyA                                 77DCBCF3 5 Bytes  JMP 00F30FAF 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 00F2003D 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 00F20FB2 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 00F20022 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_open                                           77BFF566 5 Bytes  JMP 00F20000 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wcreat                                         77BFFC9B 5 Bytes  JMP 00F20FCD 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 00F20011 
.text           C:\WINDOWS\system32\lsass.exe[652] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00E40000 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 00CB0FEF 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00CB0F97 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00CB0FA8 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00CB0076 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00CB005B 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00CB002F 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 00CB0F5F 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 00CB00A7 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 00CB0F33 
.text           C:\WINDOWS\system32\svchost.exe[836]

Alt 30.07.2009, 15:45   #7
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky


Code:
ATTFilter
kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 00CB00C2 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00CB0F22 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00CB004A 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 00CB000A 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00CB0F86 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00CB0FC3 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 00CB0FD4 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 00CB0F44 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 00CA0022 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 00CA0047 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 00CA0011 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 00CA0000 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 00CA0F80 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 00CA0FEF 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 2 Bytes  JMP 00CA0F9B 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyW + 3                           77DCBA58 2 Bytes  [ED, 88]
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 00CA0FAC 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00C90FC6 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00C90047 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 00C90011 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 00C90000 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 00C90036 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 00C90FD7 
.text           C:\WINDOWS\system32\svchost.exe[836] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 00C80000 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 00CC0FEF 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00CC0F7E 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00CC0073 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00CC0062 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00CC0051 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00CC0FC0 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 00CC009A 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 00CC0F48 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 00CC0F2D 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 00CC00C6 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00CC0F12 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00CC0FAF 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 00CC000A 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00CC0F63 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00CC002C 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 00CC001B 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 00CC00B5 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 00CB0FB2 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 00CB0F86 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 00CB0FCD 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 00CB0FDE 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 00CB0FA1 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 00CB0FEF 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 5 Bytes  JMP 00CB0039 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 00CB0028 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00CA0FAB 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00CA0FBC 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 00CA001B 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 00CA0FEF 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 00CA002C 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 00CA0000 
.text           C:\WINDOWS\system32\svchost.exe[904] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 00C90000 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 02DC0000 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 02DC0076 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 02DC0F8B 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 02DC0F9C 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 02DC0065 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 02DC0040 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 02DC0F2E 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 02DC0F3F 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 02DC0098 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 02DC0087 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 02DC00BD 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 02DC0FC3 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 02DC0FE5 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 02DC0F66 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 02DC002F 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 02DC0FD4 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 02DC0F13 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 02DB0025 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 02DB0FA5 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 02DB0FD4 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 02DB0FEF 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 02DB0062 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 02DB000A 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 5 Bytes  JMP 02DB0047 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 02DB0036 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 02CA0FB2 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 02CA003D 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 02CA0011 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 02CA0000 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 02CA002C 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 02CA0FD7 
.text           C:\WINDOWS\System32\svchost.exe[952] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 02C90FEF 
.text           C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenA                                408CC879 5 Bytes  JMP 02C80FEF 
.text           C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenW                                408CCEA9 5 Bytes  JMP 02C80FD4 
.text           C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenUrlA                             408D0BD2 5 Bytes  JMP 02C8000A 
.text           C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenUrlW                             4091B081 5 Bytes  JMP 02C8002F 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 00650000 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00650F92 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00650087 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00650FAD 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00650076 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00650FCA 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 006500A2 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 00650F5A 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 006500DF 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 006500CE 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00650F2B 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00650051 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 0065001B 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00650F77 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00650FE5 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 0065002C 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 006500BD 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 00640FDE 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 00640080 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 00640025 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 00640FEF 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 0064006F 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 00640000 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 2 Bytes  JMP 00640FC3 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW + 3                           77DCBA58 2 Bytes  [87, 88]
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 0064004A 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00630049 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00630038 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 0063001D 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 00630FEF 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 00630FD2 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 0063000C 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 007B0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 007B0F8A 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 007B007F 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 007B0064 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 007B0047 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 007B0FB9 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 007B0F4B 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 007B0F68 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 007B00B8 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 007B0F1F 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 007B00D3 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 007B0036 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 007B0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 007B0F79 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 007B001B 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 007B000A 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 007B0F30 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 007A000A 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 007A0F7C 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 007A0FB9 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 007A0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 007A0039 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 007A0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 007A0F8D 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [9D, 88]
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 007A0F9E 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 00790FA1 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 0079002C 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00790011 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00790FEF 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00790FBC 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00790000 
.text           C:\WINDOWS\system32\svchost.exe[1056] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00780FEF 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00A10FEF 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00A10F6E 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00A10F7F 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00A1004D 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00A10032 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00A10FAB 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00A100A5 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00A10F5D 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00A10F16 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00A10F31 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00A100C0 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 00A10F90 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00A10FDE 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00A10088 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00A10FBC 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00A10FCD 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00A10F42 
.text           C:\WINDOWS\system32\svchost.exe[1084]

Alt 31.07.2009, 13:03   #8
Larusso
/// Selecta Jahrusso
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky


schritt 1

Einträge mit HijackThis fixen

Starte HijackThis-->do a scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box
Code:
ATTFilter
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Nun auf Fix checked klicken
Rechner neu starten

schritt 2

Besuche die Secunia Update Seite. Lass Deinen PC nach Update scannen und installiere diese.


schritt 3

Besuche bitte die Microsoft-Update-Seite und lade Dir alle Updates unter Benutzerdefiniert herunter
Mache das so lange bis du nichts mehr angeboten bekommst
Du musst dafür mit den Internet Explorer ins Netz gehen
Wenn du dies mit FireFox durchführen willst musst Du vorher das Addon IE View installieren


schritt 4

Lösche unter C: den Ordner RSIT sowie die RSIT.exe auf dem Desktop sowie Gmer (301nj19s.exe).


schritt 5

Hier noch was zu lesen für Dich zum Thema Sicherheit von JigSaw.


Fragen, Probleme? --> keine
Dann bist Du entlassen
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 31.07.2009, 13:28   #9
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky


sodale schritt 1 und 2 erledigt, bei 3 bin ich grad dabei und bei 5 spitzel ich nebenbei rein

zum thema adaware hast jetzt aber gar nix mehr gesagt

achja und frage noch mal so am rande... systeme volume information\restore... scheint ja ein großer batzen an daten zu sein, zumindest hat das scannen ewig gedauert. ist der in der dimension nötig? bzw. was genau is das eigentlich? vielleicht die wiederherstellungspunkte?

Alt 31.07.2009, 14:01   #10
Larusso
/// Selecta Jahrusso
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky


Zitat:
Zitat von Larusso Beitrag anzeigen
schritt 5

Hier(<-- ich bin ein Link, Klick mich)noch was zu lesen für Dich zum Thema Sicherheit von JigSaw.


Fragen, Probleme? --> keine
Dann bist Du entlassen
P2P-Filesharing
P2P-Programme sind an sich saubere Programme, jedoch weißt Du niemals was Du von wo herunterlädst. Programme aus Filesharing-Börsen stammen meist aus unsicheren Quellen und da sie häufig verseucht sind, rate ich Dir auch in Zukunft davon ab. Außerdem kann es Dich zu eventuell illegalen Handlungen verleiten, z. B. die Nutzung von Raubkopien.

Welches AVP ist eigentlich egal. Es gibt keine guten und schlechten. Keines erkennt alles und keine Software kann den Rechner vor den Benutzer schützen.
Der unsicherste Virenschutz sitzt meist 60cm hinter dem Bildschirm.
Ich kenn sogar Leute, die ganz ohne AVP arbeiten ^^ (nicht zu empfehlen für "Normalos" )

Naja, ich hab kein Skype aber wie jeder Messi halt.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Antwort

Themen zu win32.trojandropper.joiner und win32.trojanproxy.ranky
ad-aware, adobe, bho, canon, ebanking, explorer, firefox, firewall, gservice, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, löschen, mozilla, neue tabs, object, opera, phishing, plug-in, pop-up-blocker, programme, siteadvisor, software, solution, spyware, super, superantispyware, trojaner, windows, windows xp


« auf verdach gesucht - bitte checken | .exe kann nicht geöffnet werden; Verknüpfungen erscheinen als .lnk ... Bitte Helfen »


Ähnliche Themen: win32.trojandropper.joiner und win32.trojanproxy.ranky


  1. MSE findet TrojanDropper:Win32/Rotbrow.A/E/C/D
    Plagegeister aller Art und deren Bekämpfung - 16.09.2014 (2)
  2. Windows 7 - TrojanDropper:Win32/Rotbrow.M bzw. L
    Log-Analyse und Auswertung - 15.01.2014 (9)
  3. TrojanDropper: Win32/Rotbrow.A-D
    Log-Analyse und Auswertung - 07.11.2013 (3)
  4. Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (11)
  5. TrojanDropper:win32/srvdrop.A
    Plagegeister aller Art und deren Bekämpfung - 16.12.2011 (14)
  6. TrojanDropper:Win32/Sirefef.B --- Was tun?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2011 (7)
  7. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  8. TrojanDropper:Win32/MessengerSkinner
    Log-Analyse und Auswertung - 08.11.2008 (0)
  9. TrojanDropper:Win32/Mes
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (1)
  10. virus trojandropper.win32.vb.ct
    Plagegeister aller Art und deren Bekämpfung - 30.11.2004 (12)
  11. TrojanDropper.Win32.exebund gefunden!
    Plagegeister aller Art und deren Bekämpfung - 25.11.2004 (6)
  12. TrojanDropper.Win32.Agent.k im Media Player
    Log-Analyse und Auswertung - 26.10.2004 (14)
  13. TrojanDownloader.Win32. IstBar.s + TrojanDropper.Win32. Dialex
    Plagegeister aller Art und deren Bekämpfung - 28.01.2004 (9)
  14. TrojanDropper.Win32.RunMe
    Plagegeister aller Art und deren Bekämpfung - 05.11.2003 (3)
  15. TrojanDropper:Win32/Small.gen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2003 (2)
  16. TrojanDropper.win32/softwar
    Plagegeister aller Art und deren Bekämpfung - 23.03.2003 (6)
  17. TrojanDropper.Win32.Launch
    Plagegeister aller Art und deren Bekämpfung - 01.02.2003 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema win32.trojandropper.joiner und win32.trojanproxy.ranky - Leider hab ich wohl ein paar kleinere (oder auch größere?) Probleme mit kleinen Schmarotzern. Erkannt hat er mir win32.trojanproxy.ranky schon vor einigen Wochen über adaware. hab eben entdeckt das ihr - win32.trojandropper.joiner und win32.trojanproxy.ranky...
Archiv
Du betrachtest: win32.trojandropper.joiner und win32.trojanproxy.ranky auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131