| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: MalewareproblemeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.08.2009, 19:52
| #1 |
 |  Malewareprobleme Hallo! Ich habe schwierigkeiten mit diverser Maleware. Wäre supernett wenn ihr euch mal meine Hjack logfile anschauen könntet und eine paar lösungen bereit hättet. Vielen dank im Voraus! Um das Problem zu konkretisieren: ich habe beim Systemstart Probleme mit der userinit.exe und der rundll32.exe. Außerdem stürzt der explorer ab und ich muss ihn nach jedem Systemstart manuell starten. C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe C:\Programme\Java\jre1.6.0\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\TEMP\torC6.tmp C:\WINDOWS\explorer.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Günter Müller\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: CPV - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Programme\WWShow\WWShow.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: MJCore - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Programme\Jcore\Jcore2.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1204904141484 O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.21.0.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDA4042-364B-486C-B491-525659EAA67E}: NameServer = 195.34.133.21,195.34.133.22 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe |
|
02.08.2009, 20:30
| #2 | ||
| /// Helfer-Team    | Malewareprobleme Hallo und Herzlich Willkommen!
__________________ Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Es fehlt der Kopf des HijackThis-LogFiles mit den Informationen zur Aktualität des Systems. Zitat:
2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
02.08.2009, 21:21
| #3 |
| | Malewareprobleme Ich poste das jetzt "einfach" mal hier mit rein - weils glaube ich Inordnung ist.
__________________Denke es gibt da schon Zusammenhänge mit dem Problem des Thread-Erstellers. AntiVir Systemprüfung (Ausschnitt) Code:
ATTFilter
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP129\A0147888.exe
[FUND] Ist das Trojanische Pferd TR/VB.sns
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151221.exe
[FUND] Ist das Trojanische Pferd TR/VB.sns
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151222.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151223.exe
[FUND] Ist das Trojanische Pferd TR/VB.sns
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151224.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151226.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151233.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151234.exe
[FUND] Ist das Trojanische Pferd TR/VB.sns
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151235.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151236.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151237.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151243.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151244.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151247.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151255.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151256.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151260.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151261.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151262.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151263.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151264.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151266.exe
[FUND] Ist das Trojanische Pferd TR/VB.sns
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151267.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151268.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151276.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151281.exe
[FUND] Ist das Trojanische Pferd TR/VB.tmk
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151282.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151284.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151285.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151286.exe
[FUND] Ist das Trojanische Pferd TR/VB.ssw
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151289.exe
[FUND] Ist das Trojanische Pferd TR/VB.sns
D:\System Volume Information\_restore{8D021484-9A3D-4EFB-9659-32FA9765E541}\RP135\A0151290.exe
[FUND] Ist das Trojanische Pferd TR/VB.sns
Hijack Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:32:29, on 02.08.2009 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe D:\WINDOWS\System32\nvsvc32.exe D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.ex e D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe D:\WINDOWS\SOUNDMAN.EXE D:\WINDOWS\System32\RUNDLL32.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Trojancheck 6\tcguard.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe D:\Programme\Mozilla Firefox\firefox.exe E:\Programme\VDOWNLOADER\VDownloader.exe D:\Programme\Windows NT\Zubehör\WORDPAD.EXE D:\Dokumente und Einstellungen\XXXX\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [/url]h**p://start.icq.com/[/url] R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [/url]h**p://board.florian-quinkertz.de/viewtopic.php?t=6[/url] R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - D:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - D:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [nTrayFw] D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BlueSoleil.lnk = E:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - E:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing) O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.ex e O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe -- End of file - 5501 bytes Meine Frage ist sind diese Trojaner A) gefährlich (gab keinen Eintrag bei Antivir) und B) Wie kann ich Sie löschen, habe festgestellt, dass sie immer wieder kommen. -trotz Löschung (durch AntiVir). und C) soll ich diese Schritte wie von Coverflow beschrieben befolgen ???? LG Freddy 11 & danke für die Tipps/Ratschläge/Anregungen und Antworten Geändert von Freddy11 (02.08.2009 um 21:59 Uhr) |
|
02.08.2009, 21:55
| #4 |
| | Malewareprobleme Vielen dank für die schnelle hilfe. Hier sind die angeforderten Daten: HJack: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:25:11, on 02.08.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe C:\Programme\Java\jre1.6.0\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Günter Müller\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: MJCore - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Programme\Jcore\Jcore2.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1204904141484 O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.21.0.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDA4042-364B-486C-B491-525659EAA67E}: NameServer = 195.34.133.21,195.34.133.22 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe -- End of file - 11747 bytes |
|
02.08.2009, 21:56
| #5 |
| | Malewareprobleme Filelist: Code:
ATTFilter ----- Root -----------------------------
Datenträger in Laufwerk C: ist FABIAN
Volumeseriennummer: 363A-17F7
Verzeichnis von C:\
02.08.2009 22:31 43 filelist.txt
02.08.2009 21:48 1.509.949.440 PAGEFILE.SYS
02.08.2009 21:48 23.400 aaw7boot.log
02.08.2009 20:26 4.346 Bug.txt
02.08.2009 16:38 211 boot.ini
02.08.2009 16:32 244 sqmnoopt08.sqm
02.08.2009 16:32 232 sqmdata08.sqm
02.08.2009 16:22 244 sqmnoopt07.sqm
02.08.2009 16:22 232 sqmdata07.sqm
02.08.2009 16:02 232 sqmdata06.sqm
02.08.2009 16:02 244 sqmnoopt06.sqm
02.08.2009 15:52 244 sqmnoopt05.sqm
02.08.2009 15:52 232 sqmdata05.sqm
17.05.2009 22:05 232 sqmdata04.sqm
17.05.2009 22:05 244 sqmnoopt04.sqm
----- Windows --------------------------
Datenträger in Laufwerk C: ist FABIAN
Volumeseriennummer: 363A-17F7
Verzeichnis von C:\WINDOWS
02.08.2009 21:48 157 wiadebug.log
02.08.2009 21:48 0 0.log
02.08.2009 21:48 2.048 bootstat.dat
02.08.2009 21:47 32.556 SchedLgU.Txt
02.08.2009 21:47 50 wiaservc.log
02.08.2009 21:47 845 WindowsUpdate.log
02.08.2009 20:25 0 sc.exe
02.08.2009 20:25 0 SC.INS
02.08.2009 16:38 227 system.ini
02.08.2009 16:38 407 win.ini
31.07.2009 14:13 67 wininit.ini
29.07.2009 17:22 884 shlfolder.sys
23.07.2009 13:20 96.256 client.exe
22.06.2009 17:39 0 admintxt.txt
21.06.2009 13:51 49 NeroDigital.ini
17.04.2009 13:47 0 vpd.properties
14.04.2009 21:27 156 Twunk001.MTX
14.04.2009 21:27 2 Twain001.Mtx
14.04.2009 21:23 0 Twunk002.MTX
14.04.2009 21:18 60.416 ALCFDRTM.VER
14.04.2009 21:17 169 RtlRack.ini
05.04.2009 13:52 162.458 War3Unin.dat
27.03.2009 16:23 0 nsreg.dat
04.03.2009 23:07 921.654 ACD Wallpaper.bmp
i
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datenträger in Laufwerk C: ist FABIAN
Volumeseriennummer: 363A-17F7
Verzeichnis von C:\WINDOWS\system32
02.08.2009 21:51 39.291 nvapps.xml
02.08.2009 21:48 13.682 wpa.dbl
31.07.2009 17:53 189.488 PnkBstrB.xtr
31.07.2009 16:53 189.488 PnkBstrB.exe
07.07.2009 18:01 794.408 pbsvc.exe
07.07.2009 18:01 75.064 PnkBstrA.exe
31.05.2009 23:38 15.688 lsdelete.exe
24.05.2009 15:59 60.928 rar.exe
22.05.2009 01:03 3.120 ALLFSAF6a.ocx
21.05.2009 18:03 415.124 perfh007.dat
21.05.2009 18:03 74.988 perfc007.dat
21.05.2009 18:03 62.286 perfc009.dat
21.05.2009 18:03 400.624 perfh009.dat
21.05.2009 18:03 939.322 PerfStringBackup.INI
07.04.2009 17:57 4.457 lvcoinst.log
29.03.2009 12:49 1.498.160 FNTCACHE.DAT
02.02.2009 01:51 16 Chmtps.psc
02.02.2009 01:35 22.016 prospeed_bmp2jpg.dll
----- Prefetch -------------------------
Datenträger in Laufwerk C: ist FABIAN
Volumeseriennummer: 363A-17F7
Verzeichnis von C:\WINDOWS\Prefetch
02.08.2009 22:31 48.524 WINRAR.EXE-1601FF6F.pf
02.08.2009 22:31 22.110 MSMSGS.EXE-32066BA5.pf
02.08.2009 22:25 23.824 WMIPRVSE.EXE-28F301A9.pf
02.08.2009 22:25 17.076 NOTEPAD.EXE-336351A9.pf
02.08.2009 22:19 19.182 VERCLSID.EXE-3667BD89.pf
02.08.2009 22:04 24.382 NSMDTR.EXE-0F29ADA7.pf
02.08.2009 22:04 132.400 IEXPLORE.EXE-2CA9778D.pf
02.08.2009 21:58 24.578 TASKMGR.EXE-20256C55.pf
02.08.2009 21:55 62.694 NMAIN.EXE-1C7B4910.pf
02.08.2009 21:54 38.040 LUCOMS~1.EXE-3B58BA4B.pf
02.08.2009 21:51 19.126 REALSCHED.EXE-0A2A7558.pf
02.08.2009 21:51 11.300 JUSCHED.EXE-2AE48347.pf
02.08.2009 21:51 15.778 CTFMON.EXE-0E17969B.pf
02.08.2009 21:51 33.416 IMAPI.EXE-0BF740A4.pf
02.08.2009 21:51 17.330 SPEEDKEY.EXE-12F37EAC.pf
02.08.2009 21:51 51.618 CCAPP.EXE-2EA3695D.pf
02.08.2009 21:51 69.584 EXPLORER.EXE-082F38A9.pf
02.08.2009 21:51 23.462 RUNDLL32.EXE-1340EF7F.pf
02.08.2009 21:51 6.806 SNDMON.EXE-01C538F5.pf
02.08.2009 21:51 12.496 NWIZ.EXE-2D0F9FBC.pf
02.08.2009 21:51 18.892 RUNDLL32.EXE-415F88EC.pf
02.08.2009 21:49 19.524 DRWTSN32.EXE-2B4B52AC.pf
02.08.2009 21:49 1.038.008 NTOSBOOT-B00DFAAD.pf
02.08.2009 21:47 20.038 LOGONUI.EXE-0AF22957.pf
02.08.2009 21:46 60.972 AAWSERVICE.EXE-1E1DE6D1.pf
02.08.2009 21:45 15.806 AD-AWAREADMIN.EXE-1618EEEB.pf
02.08.2009 21:44 62.084 AD-AWARE.EXE-2B8B58D1.pf
02.08.2009 20:27 17.084 AAWTRAY.EXE-31E33C30.pf
02.08.2009 20:27 18.286 UNSECAPP.EXE-1A95A33B.pf
02.08.2009 20:01 42.276 RUNDLL32.EXE-2BF3472E.pf
02.08.2009 20:00 37.080 CCLEANER.EXE-04E9D9E4.pf
02.08.2009 19:53 48.800 SSMYPICS.SCR-01C62024.pf
02.08.2009 19:21 48.678 DUMPREP.EXE-1B46F901.pf
02.08.2009 19:21 32.844 DWWIN.EXE-30875ADC.pf
02.08.2009 19:21 45.678 WGATRAY.EXE-0ED38BED.pf
02.08.2009 19:21 20.658 CALMAIN.EXE-2403E25F.pf
02.08.2009 19:21 17.172 RUNDLL32.EXE-35A483DA.pf
02.08.2009 19:21 19.760 LVCOMSER.EXE-2F0DB8B8.pf
02.08.2009 19:21 16.674 ALG.EXE-0F138680.pf
02.08.2009 19:11 14.566 OSA9.EXE-07EC1F61.pf
02.08.2009 18:46 204.076 HELPSVC.EXE-2878DDA2.pf
02.08.2009 18:31 10.734 WINDOWSUPDATE.COM-3042EB8A.pf
02.08.2009 17:38 42.454 LUCALLBACKPROXY.EXE-0B5F632D.pf
02.08.2009 17:38 24.142 AUPDATE.EXE-089630E1.pf
02.08.2009 17:29 11.758 WINDOWSUPDATE.COM-025AE33E.pf
02.08.2009 17:29 16.170 RUNDLL32.EXE-451FC2C0.pf
02.08.2009 16:14 14.068 COMMUNICATIONS_HELPER.EXE-25B96193.pf
02.08.2009 16:11 41.190 REALPLAY.EXE-249FAEE9.pf
02.08.2009 15:44 13.986 READER_SL.EXE-2FAFE67A.pf
02.08.2009 15:34 30.454 GOOGLEUPDATER.EXE-36CE3796.pf
31.07.2009 18:44 18.806 RUNDLL32.EXE-2A94BB85.pf
31.07.2009 18:44 20.120 RUNDLL32.EXE-2E5AF1D7.pf
31.07.2009 16:51 74.882 BFHEROES.EXE-0669BEBC.pf
31.07.2009 16:51 80.314 BFHUPDATER.EXE-087EA545.pf
31.07.2009 16:22 14.822 DFRGFAT.EXE-03D95883.pf
31.07.2009 16:21 17.312 DEFRAG.EXE-273F131E.pf
31.07.2009 16:21 452.666 Layout.ini
31.07.2009 15:10 30.570 SVCHOST.EXE-3530F672.pf
31.07.2009 15:09 14.980 SPOOLSV.EXE-282F76A7.pf
31.07.2009 15:06 3.824 UASERVICE7.EXE-128DE90A.pf
31.07.2009 15:06 15.496 RUNDLL32.EXE-1857459C.pf
31.07.2009 14:56 58.752 ACRORD32.EXE-2E761392.pf
31.07.2009 14:56 59.178 ACRORD32INFO.EXE-19B1D743.pf
31.07.2009 14:19 64.724 EMULE.EXE-184A63F1.pf
31.07.2009 14:15 99.296 WINAMP.EXE-21FF27FD.pf
31.07.2009 14:13 15.988 PXINSTALL906.EXE-29C978CD.pf
31.07.2009 14:13 35.572 PREVXCSIFREE.EXE-063E0802.pf
31.07.2009 14:07 21.392 SBSERV.EXE-28D943D4.pf
31.07.2009 14:07 7.250 WDFMGR.EXE-2CF4013B.pf
31.07.2009 02:14 60.964 RUNDLL32.EXE-44BE2EA0.pf
31.07.2009 01:57 17.246 SNDVOL32.EXE-383480B7.pf
31.07.2009 01:40 35.722 UNRAR.EXE-009949E7.pf
31.07.2009 01:40 66.584 JDOWNLOADER.EXE-1BC513A2.pf
31.07.2009 01:40 12.374 JDOWNLOADER.EXE-31F474F9.pf
31.07.2009 01:10 92.256 MPLAYER.EXE-08BEC2C7.pf
31.07.2009 00:29 33.898 RUNDLL32.EXE-2576181F.pf
31.07.2009 00:16 79.548 SMPLAYER.EXE-0DE95D2B.pf
30.07.2009 22:11 17.968 RUNDLL32.EXE-29EEFDA2.pf
30.07.2009 22:09 11.030 WINDOWSUPDATE.COM-1F82E50F.pf
30.07.2009 21:43 20.098 RUNDLL32.EXE-3281CF2A.pf
30.07.2009 21:29 52.002 CLEANMGR.EXE-1F86EA8E.pf
30.07.2009 16:37 96.578 ICQ.EXE-15A4C655.pf
30.07.2009 13:14 98.400 GAMEGUARD.DES-02671AE0.pf
30.07.2009 13:14 91.408 NEUZ.EXE-1EDAA89E.pf
30.07.2009 13:14 85.422 FLYFF.EXE-1DFBAB89.pf
29.07.2009 19:54 72.478 WINWORD.EXE-0AEA99D4.pf
29.07.2009 19:54 71.272 NAVW32.EXE-2944DF24.pf
29.07.2009 19:51 32.248 CCEMFLSV.EXE-280D703E.pf
29.07.2009 19:47 82.000 MSIMN.EXE-0B61806C.pf
29.07.2009 19:47 61.390 OPSCAN.EXE-21925EFF.pf
29.07.2009 18:59 26.384 ICQUPDATER.EXE-329A8D59.pf
29.07.2009 17:34 51.882 OC4PE.EXE-2B89B03A.pf
29.07.2009 17:22 44.392 ADESIGN.EXE-0A796F27.pf
29.07.2009 16:19 57.580 ADOBEUPDATER.EXE-370FC314.pf
29.07.2009 16:19 51.512 FNPLICENSINGSERVICE.EXE-1A968544.pf
29.07.2009 16:18 18.260 RUNDLL32.EXE-18A37FAF.pf
29.07.2009 16:18 7.544 PHOTOSHOP.EXE-3B30C8C4.pf
29.07.2009 13:42 16.748 RUNDLL32.EXE-31610E45.pf
28.07.2009 22:21 55.542 SKYPEPM.EXE-03F1BFBD.pf
28.07.2009 19:15 66.100 AGE3Y.EXE-134D373E.pf
28.07.2009 19:10 61.028 SKYPE.EXE-21F19BC8.pf
28.07.2009 17:04 18.208 RUNDLL32.EXE-4BB24ACC.pf
28.07.2009 17:04 21.148 RUNDLL32.EXE-3C6A1D96.pf
28.07.2009 12:59 76.028 JAVA.EXE-076DF237.pf
26.07.2009 19:11 57.262 ADOBE_UPDATER.EXE-059F58EC.pf
26.07.2009 17:32 17.618 RUNDLL32.EXE-146D9EC8.pf
26.07.2009 17:29 18.148 RUNDLL32.EXE-4C00651E.pf
26.07.2009 16:57 18.208 RUNDLL32.EXE-254D97BD.pf
26.07.2009 16:57 19.180 RUNDLL32.EXE-35D37FE5.pf
25.07.2009 14:27 55.226 WESNOTH.EXE-05E5DE80.pf
24.07.2009 21:13 21.318 WIAACMGR.EXE-212ED878.pf
23.07.2009 01:23 14.942 CALC.EXE-02CD573A.pf
22.07.2009 23:45 21.152 FFMPEG.EXE-03BB1812.pf
22.07.2009 23:44 23.494 FREEYOUTUBETOMP3CONVERTER.EXE-01012D6E.pf
21.07.2009 23:10 22.458 RUNDLL32.EXE-2F8D0DD5.pf
21.07.2009 17:07 45.112 RUNDLL32.EXE-36A55E35.pf
21.07.2009 17:07 8.002 CNMSE92.EXE-287D3D8B.pf
21.07.2009 17:04 39.012 RUNDLL32.EXE-1942EEDC.pf
21.07.2009 17:00 59.774 GSWIN32C.EXE-0000177B.pf
21.07.2009 17:00 26.758 FREEPDF.EXE-054FA9B2.pf
21.07.2009 17:00 10.930 FPREDMON.EXE-04FE2A32.pf
21.07.2009 17:00 21.564 REDRUN.EXE-0746FC9C.pf
21.07.2009 16:48 62.894 INDESIGN.EXE-0CC1370E.pf
21.07.2009 16:48 40.548 BJMYPRT.EXE-2D435E4B.pf
21.07.2009 16:47 18.174 CNSLMAIN.EXE-32AB703B.pf
21.07.2009 16:32 60.140 POWERPNT.EXE-152C1DEB.pf
21.07.2009 16:22 15.132 FPASSIST.EXE-18368AA2.pf
21.07.2009 14:59 22.264 RUNDLL32.EXE-3D3CFEB1.pf
20.07.2009 18:18 14.986 RUNDLL32.EXE-268BFF96.pf
20.07.2009 14:42 21.156 CEVO.EXE-2A086CBE.pf
130 Datei(en) 6.322.276 Bytes
0 Verzeichnis(se), 276.922.368 Bytes frei
----- Tasks ----------------------------
Datenträger in Laufwerk C: ist FABIAN
Volumeseriennummer: 363A-17F7
Verzeichnis von C:\WINDOWS\tasks
02.08.2009 21:48 6 SA.DAT
24.07.2009 20:03 572 Norton AntiVirus - Scan my computer - Günter Müller.job
20.07.2009 23:38 458 Ad-Aware Update (Weekly).job
----- Windows/Temp -----------------------
Datenträger in Laufwerk C: ist FABIAN
Volumeseriennummer: 363A-17F7
Verzeichnis von C:\WINDOWS\Temp
02.08.2009 21:49 409 WGANotify.settings
02.08.2009 21:48 1.360 LVCOMSX.LOG
02.08.2009 21:48 66 WGAErrLog.txt
02.08.2009 20:26 5.460 VRTCA.tmp
02.08.2009 20:25 3.262 2.ico
02.08.2009 20:25 3.262 3.ico
02.08.2009 20:25 128.000 VRTC7.tmp
02.08.2009 20:25 3.262 1.ico
02.08.2009 20:25 39.936 VRTC4.tmp
9 Datei(en) 185.017 Bytes
0 Verzeichnis(se), 277.176.320 Bytes frei
----- Temp -----------------------------
Datenträger in Laufwerk C: ist FABIAN
Volumeseriennummer: 363A-17F7
Verzeichnis von C:\DOKUME~1\GÜNTER~1\LOKALE~1\Temp
02.08.2009 21:56 680 jusched.log
02.08.2009 21:48 16.256 7956_appcompat.txt
02.08.2009 20:26 421.888 cmd.execf
02.08.2009 20:23 18.330 dd_vcredistUI7B1B.txt
02.08.2009 20:23 523.310 dd_vcredistMSI7B1B.txt
02.08.2009 20:14 535.646 dd_vcredistMSI748C.txt
02.08.2009 20:14 17.300 dd_vcredistUI748C.txt
02.08.2009 20:08 525.210 dd_vcredistMSI7023.txt
02.08.2009 20:08 16.242 dd_vcredistUI7023.txt
02.08.2009 20:03 529.520 dd_vcredistMSI6BD3.txt
02.08.2009 20:03 15.348 dd_vcredistUI6BD3.txt
02.08.2009 19:59 522.322 dd_vcredistMSI68CA.txt
02.08.2009 19:59 12.418 dd_vcredistUI68CA.txt
02.08.2009 19:46 12.434 dd_vcredistUI5F32.txt
02.08.2009 19:46 522.702 dd_vcredistMSI5F32.txt
02.08.2009 19:46 477.380 dd_vcredistMSI5EC0.txt
02.08.2009 19:46 12.594 dd_vcredistUI5EC0.txt
02.08.2009 19:20 16.256 7f51_appcompat.txt
02.08.2009 19:09 16.384 ~DF3C5D.tmp
07.05.2009 22:25 10.046 MPC2.tmp
20 Datei(en) 4.222.266 Bytes
0 Verzeichnis(se), 277.176.320 Bytes frei
|
|
02.08.2009, 21:57
| #6 |
| | Malewareprobleme Installierte Programme: Code:
ATTFilter 1848
Able MIDI Editor 1.3 (remove only)
ACDSee
Ad-Aware
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe InDesign CS3
Adobe Photoshop CS3
Adobe Reader 9.1.2 - Deutsch
Adobe Shockwave Player 11
Age of Empires III
Age of Empires III - The Asian Dynasties
Age of Empires III - The WarChiefs
Alcohol 120%
Athlon 64 Processor Driver
Avanquest update
AVS4YOU Software Navigator 1.2
Azureus
Battlefield Heroes
Bontago
Canon Camera Access Library
Canon Camera Support Core Library
Canon Internet Library for ZoomBrowser EX
Canon iP4500 series
Canon iP4500 series Benutzerregistrierung
Canon My Printer
Canon Utilities Easy-PhotoPrint EX
Canon Utilities Solution Menu
CCleaner (remove only)
CD-LabelPrint
CINEMA 4D Release 10
DELETER CG illust 2E
Diablo II
Disciples 2 Collector's Edition
DivX Web Player
Dungeon Keeper 2
eMule
EroBottle 4.6
formZ RenderZone Plus Demo v6.5.3
Free YouTube to Mp3 Converter version 3.1
FreePDF XP (Remove only)
getPlus(R) for Adobe
Google Earth
Google SketchUp 6
Google SketchUp Pro 6
Google Toolbar for Internet Explorer
Google Updater
GPL Ghostscript 8.61
GPL Ghostscript Fonts
GSview 4.8
HijackThis 2.0.2
HP Photo and Imaging 1.0 - Scanjet 2300c Series
HP USB Disk Storage Format Tool
HyperCam 2
ICQ Toolbar
ICQ6.5
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Java(TM) SE Runtime Environment 6
LEGO Star Wars
Liquid War 6 0.0.6beta
LiveReg (Symantec Corporation)
LiveUpdate 3.0 (Symantec Corporation)
Logitech QuickCam
Logitech QuickCam-Treiberpaket
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0
Microsoft IntelliPoint 4.0
Microsoft IntelliType Pro
Microsoft Office 2000 Premium
Microsoft PhotoDraw 2000
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Misato Katsuragi Screen Saver
Motorola Driver Installation 3.2.0
Motorola Phone Tools
Mozilla Firefox (3.0.8)
MSN
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
N Schach 3
Nemetschek Allplan 2008
Nemetschek SoftLock 2006
Nero 6 Ultra Edition
Norton Internet Security 2005 (Symantec Corporation)
NVIDIA Drivers
openCanvas4.06E Plus
PIXMA Extended Survey Program
Pontifex II
PowerDVD
PunkBuster Services
RealPlayer
Realtek AC'97 Audio
RedMon - Redirection Port Monitor
Sakura Diaries Screen Saver
Scorched3D 40.1d
SexyBeach2
SideWinder Precision 2
Skype 3.0
Skype add-on for IE
SMPlayer 0.6.3.1
SPCA5000 Trancoding Tool
SSH Secure Shell
Starcraft
Steam
Styrateg Demo 1.13
SunPlus PMP Transcoding
Theme Hospital
Toribash 3.32
TrackMania Nations Forever
Uninstall 1.0.0.1
Warcraft III: All Products
WIDCOMM Bluetooth Software
Winamp (remove only)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Messenger
Code:
ATTFilter GMER 1.0.15.15011 [k6rcph30.exe] - http://www.gmer.net
Rootkit scan 2009-08-02 22:39:27
Windows 5.1.2600 Service Pack 2
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Fastfat \Fat 859A896C
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
---- Modules - GMER 1.0.15 ----
Module _________ F73A1000-F73B9000 (98304 bytes)
---- EOF - GMER 1.0.15 ----
|
|
02.08.2009, 23:08
| #8 |
| | Malewareprobleme ich versuch den gmer-text mal zu spitten: Gmer: Code:
ATTFilter GMER 1.0.15.15011 [k6rcph30.exe] - http://www.gmer.net
Rootkit scan 2009-08-02 23:54:34
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT 85755288 ZwConnectPort
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF758C87E]
SSDT 85654138 ZwOpenProcess
SSDT 855CD148 ZwOpenThread
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF758CBFE]
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 252C 805013FC 2 Bytes [48, D1]
.text tcpip.sys!SendICMPErr + FFFCCA69 F414A387 2 Bytes [70, 90] {JO 0xffffffffffffff92}
.text tcpip.sys!SendICMPErr + FFFCCA74 F414A392 2 Bytes [E0, 91] {LOOPNZ 0xffffffffffffff93}
.text tcpip.sys!SendICMPErr + FFFCCA7F F414A39D 2 Bytes [F4, 91] {HLT ; XCHG ECX, EAX}
.text tcpip.sys!SendICMPErr + FFFCCA8F F414A3AD 2 Bytes [48, B6]
.text tcpip.sys!SendICMPErr + FFFCCA97 F414A3B5 2 Bytes [79, B6] {JNS 0xffffffffffffffb8}
.text ...
.text tcpip.sys!FreeIprBuff + 14 F414B8B4 2 Bytes [1A, E2] {SBB AH, DL}
.text tcpip.sys!IPFreeBuff + 2B F414B8EC 2 Bytes [A8, 91] {TEST AL, 0x91}
.text tcpip.sys!IPFreeBuff + 4B F414B90C 2 Bytes [CF, D4]
.text tcpip.sys!IPFreeBuff + 83 F414B944 2 Bytes [35, DA]
.text tcpip.sys!IPFreeBuff + 8D F414B94E 3 Bytes [CF, 88, 00] {IRET ; MOV [EAX], AL}
.text tcpip.sys!IPFreeBuff + 97 F414B958 2 Bytes [20, E1] {AND CL, AH}
.text ...
.text tcpip.sys!IPGetAddrType + AA F414C3BA 99 Bytes [45, 0C, 8B, 40, 0C, 83, 65, ...]
.text tcpip.sys!IPGetAddrType + 10E F414C41E 276 Bytes [C9, C2, 28, 00, F6, 47, 14, ...]
.text tcpip.sys!IPGetAddrType + 225 F414C535 6 Bytes [8B, 45, FC, 39, 30, C6]
.text tcpip.sys!IPGetAddrType + 22C F414C53C 70 Bytes [23, 00, 0F, 85, 1B, 7E, 01, ...]
.text tcpip.sys!IPGetAddrType + 273 F414C583 44 Bytes [15, A8, 91, 18, F4, E9, A5, ...]
.text ...
.text tcpip.sys!LookupRoute + 16 F414CC23 3 Bytes CALL F414CB69 \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
.text tcpip.sys!LookupRoute + 1A F414CC27 6 Bytes [FF, FF, 8A, D3, 8B, CE]
.text tcpip.sys!LookupRoute + 21 F414CC2E 105 Bytes [15, 08, 8F, 18, F4, 5E, 5B, ...]
.text tcpip.sys!IPTransmit + 56 F414CC99 4 Bytes [FF, 89, 9D, 2C]
.text tcpip.sys!IPTransmit + 5C F414CC9F 4 Bytes [FF, 88, 9D, 5B]
.text tcpip.sys!IPTransmit + 62 F414CCA5 4 Bytes [FF, 89, 9D, 1C]
.text tcpip.sys!IPTransmit + 68 F414CCAB 4 Bytes [FF, 89, 9D, 50]
.text tcpip.sys!IPTransmit + 6E F414CCB1 19 Bytes [FF, 89, 5D, 94, 89, 5D, A8, ...]
.text ...
.text tcpip.sys!SetIPSecPtr + 32 F415E7EA 104 Bytes [45, 08, 0F, 82, 70, 39, 01, ...]
.text tcpip.sys!SetIPSecPtr + 9B F415E853 83 Bytes JMP F415E1FF \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
.text tcpip.sys!IPGetInfo + 37 F415E8A7 143 Bytes [89, 45, F8, 72, E4, 5F, 5E, ...]
.text tcpip.sys!IPGetInfo + F8 F415E968 1 Byte [65]
.text tcpip.sys!IPGetInfo + F8 F415E968 9 Bytes [65, 00, 64, 00, 50, 00, 6F, ...]
.text tcpip.sys!IPGetInfo + 102 F415E972 1 Byte [74]
.text tcpip.sys!IPGetInfo + 102 F415E972 9 Bytes [74, 00, 73, 00, 00, 00, 52, ...]
.text ...
.text tcpip.sys!LookupRouteInformation + C F4160368 11 Bytes [55, 8B, EC, FF, 0D, 3C, 9A, ...]
.text tcpip.sys!LookupRouteInformation + 18 F4160374 63 Bytes [80, 60, 14, DF, 83, 7D, 14, ...]
.text tcpip.sys!LookupRouteInformationWithBuffer + 32 F41603B4 32 Bytes [0F, 84, A2, C5, 00, 00, 39, ...]
.text tcpip.sys!LookupRouteInformationWithBuffer + 53 F41603D5 36 Bytes CALL F414D6B5 \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
.text tcpip.sys!LookupRouteInformationWithBuffer + 78 F41603FA 67 Bytes [EC, 8B, 45, 08, 8D, 48, 10, ...]
.text tcpip.sys!LookupRouteInformationWithBuffer + BC F416043E 94 Bytes [00, 39, 06, 76, F2, E9, C7, ...]
.text tcpip.sys!LookupRouteInformationWithBuffer + 11B F416049D 91 Bytes [89, 5D, FC, AB, 66, 89, 5D, ...]
.text ...
.text tcpip.sys!IPAddInterface + 47 F4160784 21 Bytes [44, 00, 45, 00, 56, 00, 49, ...]
.text tcpip.sys!IPAddInterface + 5D F416079A 49 Bytes [50, 00, 5F, 00, 00, 00, 00, ...]
.text tcpip.sys!IPAddInterface + 8F F41607CC 70 Bytes [43, 00, 45, 00, 5C, 00, 54, ...]
.text tcpip.sys!IPAddInterface + D6 F4160813 2 Bytes [40, 00]
.text tcpip.sys!IPAddInterface + D9 F4160816 30 Bytes [00, 83, 3B, 00, 0F, 85, 13, ...]
.text ...
.text tcpip.sys!IPRegisterARP + 56 F4161032 2 Bytes [4D, 0C]
.text tcpip.sys!IPRegisterARP + 59 F4161035 5 Bytes [48, 08, 8B, 4D, 18]
.text tcpip.sys!IPRegisterARP + 5F F416103B 1 Byte [88]
.text tcpip.sys!IPRegisterARP + 5F F416103B 65 Bytes [88, 28, 01, 00, 00, 33, C0, ...]
.text tcpip.sys!IPRegisterARP + A1 F416107D 83 Bytes [4D, 08, 89, 41, 40, 33, C0, ...]
.text ...
.text tcpip.sys!IPDelayedNdisReEnumerateBindings + 1E F41610FE 6 Bytes [C1, FF, FF, E9, BA, A0]
.text tcpip.sys!IPDelayedNdisReEnumerateBindings + 25 F4161105 261 Bytes [00, 90, 90, 90, 90, 90, 8B, ...]
.text tcpip.sys!IPDelayedNdisReEnumerateBindings + 12B F416120B 30 Bytes [F0, 0F, C1, 11, 0F, 84, 66, ...]
.text tcpip.sys!IPDelayedNdisReEnumerateBindings + 14A F416122A 9 Bytes [55, 8B, EC, 81, 7D, 0C, 90, ...]
.text tcpip.sys!IPDelayedNdisReEnumerateBindings + 154 F4161234 235 Bytes [0F, 82, D0, A6, 00, 00, 8B, ...]
.text ...
.text tcpip.sys!IPRegisterProtocol + 38 F4162A5F 17 Bytes [C7, 40, 10, 02, 00, 00, 00, ...]
.text tcpip.sys!IPRegisterProtocol + 4A F4162A71 86 Bytes [55, 8B, EC, 51, 56, 68, 54, ...]
.text tcpip.sys!IPRegisterProtocol + A1 F4162AC8 72 Bytes [FC, 0F, 85, 8B, 77, 00, 00, ...]
.text tcpip.sys!IPRegisterProtocol + EA F4162B11 92 Bytes [15, 90, 91, 18, F4, 8B, D8, ...]
.text tcpip.sys!IPRegisterProtocol + 147 F4162B6E 56 Bytes [40, 04, 89, 00, 88, 50, 13, ...]
.text ...
.text tcpip.sys!tcpxsum + 10 F4167102 62 Bytes [00, 00, 74, 0A, 8A, 26, 46, ...]
.text tcpip.sys!tcpxsum + 4F F4167141 40 Bytes [00, 00, 8B, D9, 83, C1, 1F, ...]
.text tcpip.sys!tcpxsum + 7B F416716D 1 Byte [0C]
.text tcpip.sys!tcpxsum + 80 F4167172 1 Byte [10]
.text tcpip.sys!tcpxsum + 85 F4167177 1 Byte [14]
.text ...
.text tcpip.sys!IPAllocBuff + 1 F4177D4A 214 Bytes [36, 8B, 78, 0C, 8B, CA, 8B, ...]
.text tcpip.sys!IPInjectPkt + 9C F4177E22 66 Bytes [33, DB, 83, F8, 07, 75, 0C, ...]
.text tcpip.sys!IPInjectPkt + DF F4177E65 79 Bytes [4A, 10, 89, 01, C7, 42, 0C, ...]
.text tcpip.sys!IPInjectPkt + 12F F4177EB5 35 Bytes [83, C0, 10, 83, 38, 00, 74, ...]
.text tcpip.sys!IPInjectPkt + 153 F4177ED9 120 Bytes [83, 61, 18, 00, 5D, C2, 08, ...]
.text tcpip.sys!IPInjectPkt + 1CD F4177F53 1 Byte [0C]
.text ...
.text tcpip.sys!GetIFAndLink + 2 F4179832 58 Bytes [50, 0C, 3D, 03, 01, 00, 00, ...]
.text tcpip.sys!GetIFAndLink + 3D F417986D 1 Byte [FF]
.text tcpip.sys!GetIFAndLink + 3D F417986D 48 Bytes [FF, 75, 30, 8B, 75, 18, FF, ...]
.text tcpip.sys!GetIFAndLink + 6E F417989E 216 Bytes [FF, 55, 8B, EC, 83, EC, 48, ...]
.text tcpip.sys!GetIFAndLink + 147 F4179977 73 Bytes [0C, 01, 0F, 84, DC, 00, 00, ...]
.text ...
.text tcpip.sys!IPDeregisterARP + 37 F417A99A 10 Bytes [20, EB, 07, 33, C0, 83, C7, ...] {AND BL, CH; POP ES; XOR EAX, EAX; ADD EDI, 0x18; STOSD ; STOSD }
.text tcpip.sys!IPDeregisterARP + 42 F417A9A5 4 Bytes [5E, 5D, C2, 04]
.text tcpip.sys!IPDeregisterARP + 47 F417A9AA 26 Bytes [90, 90, 90, 90, 90, 8B, FF, ...]
.text tcpip.sys!IPDeregisterARP + 62 F417A9C5 79 Bytes [49, 0C, A1, 20, DD, 18, F4, ...]
.text tcpip.sys!IPDeregisterARP + B2 F417AA15 75 Bytes [CB, FF, 15, 0C, 8F, 18, F4, ...]
.text ...
.text tcpip.sys!IPGetBestInterface + 2A F417B8BB 13 Bytes [CF, F7, D1, 23, CB, 8B, 5E, ...]
.text tcpip.sys!IPGetBestInterface + 38 F417B8C9 99 Bytes [74, 3A, 0F, B6, 78, 04, C1, ...]
.text tcpip.sys!IPGetBestInterface + 9C F417B92D 18 Bytes [EC, 56, 57, 33, FF, 39, 3D, ...] {IN AL, DX ; PUSH ESI; PUSH EDI; XOR EDI, EDI; CMP [0xf418b734], EDI; JBE 0x3e; MOV EAX, [0xf418b738]}
.text tcpip.sys!IPGetBestInterface + AF F417B940 92 Bytes [34, B8, EB, 1A, F6, 46, 14, ...]
.text tcpip.sys!IPGetBestInterface + 10C F417B99D 23 Bytes [B4, 18, F4, 83, E0, 01, C1, ...]
.text ...
.text tcpip.sys!IPEnableSniffer + 29 F417BD56 27 Bytes [FF, 75, 14, 8D, 45, E4, 50, ...]
.text tcpip.sys!IPEnableSniffer + 45 F417BD72 17 Bytes [5B, 5F, 5E, C9, C2, 10, 00, ...] {POP EBX; POP EDI; POP ESI; LEAVE ; RET 0x10; NOP ; NOP ; NOP ; NOP ; NOP ; MOV EDI, EDI; PUSH EBP; MOV EBP, ESP}
.text tcpip.sys!IPEnableSniffer + 57 F417BD84 58 Bytes [4D, 0C, 8D, 0C, 8D, 03, 00, ...]
.text tcpip.sys!IPEnableSniffer + 92 F417BDBF 16 Bytes [EC, 51, 57, 33, FF, 39, 7D, ...] {IN AL, DX ; PUSH ECX; PUSH EDI; XOR EDI, EDI; CMP [EBP+0x8], EDI; JZ 0x55; PUSH ESI; MOV ESI, 0xf4189700}
.text tcpip.sys!IPEnableSniffer + A3 F417BDD0 81 Bytes [CE, FF, 15, 0C, 8F, 18, F4, ...]
.text ...
.text tcpip.sys!IPDisableSniffer + 6 F417BEAD 92 Bytes [E1, FC, 83, C1, 04, 8B, 5D, ...]
.text tcpip.sys!IPDisableSniffer + 63 F417BF0A 44 Bytes JMP 7D9BCE15
.text tcpip.sys!IPDisableSniffer + 90 F417BF37 1 Byte [0B]
.text tcpip.sys!IPDisableSniffer + 90 F417BF37 110 Bytes [0B, 8B, 7D, F4, 80, 4D, FF, ...]
.text tcpip.sys!IPDisableSniffer + FF F417BFA6 147 Bytes [FF, FF, 8B, 7D, 10, 80, 4F, ...]
.text tcpip.sys!IPSetIPSecStatus + 1B F417C03A 97 Bytes [FF, 83, 7D, 0C, 03, 0F, 86, ...]
.text tcpip.sys!IPSetIPSecStatus + 7D F417C09C 255 Bytes [F3, F3, A5, 8B, CA, 83, E1, ...]
.text tcpip.sys!IPSetIPSecStatus + 17D F417C19C 40 Bytes [01, 00, 00, 3B, F8, 77, 02, ...]
.text tcpip.sys!IPSetIPSecStatus + 1A6 F417C1C5 64 Bytes [53, 33, DB, 39, 1D, 34, B7, ...]
.text tcpip.sys!IPSetIPSecStatus + 1E7 F417C206 17 Bytes [50, FF, 15, 98, 91, 18, F4, ...]
.text ...
.text tcpip.sys!UnSetIPSecPtr + 27 F417C2DD 57 Bytes [4E, 23, D6, 8B, 35, 38, B7, ...]
.text tcpip.sys!UnSetIPSecSendPtr + 17 F417C317 4 Bytes [FF, 15, 0C, 8F]
.text tcpip.sys!UnSetIPSecSendPtr + 1D F417C31D 97 Bytes [F6, 46, 14, 01, 88, 45, 0F, ...]
.text tcpip.sys!UnSetIPSecSendPtr + 7F F417C37F 9 Bytes [0C, 8E, EB, 0E, 3B, 55, F8, ...] {OR AL, 0x8e; JMP 0x12; CMP EDX, [EBP-0x8]; JAE 0x21}
.text tcpip.sys!UnSetIPSecSendPtr + 89 F417C389 89 Bytes [59, 08, 89, 1C, 90, 8B, 09, ...]
.text tcpip.sys!UnSetIPSecSendPtr + E3 F417C3E3 15 Bytes [FF, 55, 8B, EC, 83, EC, 10, ...] {CALL [EBP-0x75]; IN AL, DX ; SUB ESP, 0x10; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0x8]; MOV EAX, [ESI+0x18]}
.text ...
.text tcpip.sys!IPDelInterface + 47 F417C7E3 1 Byte [BF]
.text tcpip.sys!IPDelInterface + 47 F417C7E3 67 Bytes [BF, 8B, 45, F4, 8B, 4D, FC, ...]
.text tcpip.sys!IPDelInterface + 8B F417C827 278 Bytes [89, 46, 0C, 8B, 45, F0, 89, ...]
.text tcpip.sys!IPDelInterface + 1A2 F417C93E 2 Bytes [80, 88]
.text tcpip.sys!IPDelInterface + 1A7 F417C943 43 Bytes [89, 07, 83, 66, 18, 00, C7, ...]
.text ...
.text tcpip.sys!SendICMPErr + 4D F417D96B 5 Bytes [97, 18, F4, C6, 03]
.text tcpip.sys!SendICMPErr + 53 F417D971 65 Bytes [FF, 15, 0C, 8F, 18, F4, 80, ...]
.text tcpip.sys!SendICMPErr + 96 F417D9B4 55 Bytes [74, 0B, 68, 13, 2B, 00, 00, ...]
.text tcpip.sys!SendICMPErr + CE F417D9EC 35 Bytes [56, 8D, 45, E4, 50, 8D, 45, ...]
.text tcpip.sys!SendICMPErr + F2 F417DA10 38 Bytes [57, 89, 45, 08, FF, 15, 30, ...]
.text ...
|
|
02.08.2009, 23:10
| #9 |
| | MalewareproblemeCode:
ATTFilter .text C:\WINDOWS\system32\spoolsv.exe[176] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FF948E8
.text C:\WINDOWS\system32\spoolsv.exe[176] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FF94977
.text C:\WINDOWS\system32\spoolsv.exe[176] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FF94984
.text C:\WINDOWS\system32\spoolsv.exe[176] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FF94C08
.text C:\WINDOWS\system32\spoolsv.exe[176] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FF9496D
.text C:\WINDOWS\system32\spoolsv.exe[176] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FF949C5
.text C:\Programme\Bonjour\mDNSResponder.exe[468] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Bonjour\mDNSResponder.exe[468] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Bonjour\mDNSResponder.exe[468] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Bonjour\mDNSResponder.exe[468] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Bonjour\mDNSResponder.exe[468] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Bonjour\mDNSResponder.exe[468] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe[484] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe[484] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe[484] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe[484] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe[484] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe[484] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[528] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[528] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[528] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[528] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[528] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[528] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[592] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[592] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[592] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[592] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[592] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[592] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[632] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[632] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[632] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[632] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[632] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[632] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe[656] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe[656] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe[656] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe[656] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe[656] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe[656] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\nvsvc32.exe[688] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\nvsvc32.exe[688] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\nvsvc32.exe[688] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\nvsvc32.exe[688] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\nvsvc32.exe[688] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\nvsvc32.exe[688] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\PnkBstrA.exe[760] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\PnkBstrA.exe[760] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\PnkBstrA.exe[760] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\PnkBstrA.exe[760] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\PnkBstrA.exe[760] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\PnkBstrA.exe[760] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\winlogon.exe[788] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FF948E8
.text C:\WINDOWS\system32\winlogon.exe[788] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FF94977
.text C:\WINDOWS\system32\winlogon.exe[788] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FF94984
.text C:\WINDOWS\system32\winlogon.exe[788] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FF94C08
.text C:\WINDOWS\system32\winlogon.exe[788] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FF9496D
.text C:\WINDOWS\system32\winlogon.exe[788] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FF949C5
.text C:\WINDOWS\system32\services.exe[832] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FF948E8
.text C:\WINDOWS\system32\services.exe[832] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FF94977
.text C:\WINDOWS\system32\services.exe[832] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FF94984
.text C:\WINDOWS\system32\services.exe[832] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FF94C08
.text C:\WINDOWS\system32\services.exe[832] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FF9496D
.text C:\WINDOWS\system32\services.exe[832] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FF949C5
.text C:\WINDOWS\system32\lsass.exe[844] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FF948E8
.text C:\WINDOWS\system32\lsass.exe[844] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FF94977
.text C:\WINDOWS\system32\lsass.exe[844] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FF94984
.text C:\WINDOWS\system32\lsass.exe[844] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FF94C08
.text C:\WINDOWS\system32\lsass.exe[844] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FF9496D
.text C:\WINDOWS\system32\lsass.exe[844] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FF949C5
.text C:\WINDOWS\system32\svchost.exe[992] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FF948E8
.text C:\WINDOWS\system32\svchost.exe[992] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FF94977
.text C:\WINDOWS\system32\svchost.exe[992] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FF94984
.text C:\WINDOWS\system32\svchost.exe[992] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FF94C08
.text C:\WINDOWS\system32\svchost.exe[992] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FF9496D
|
|
02.08.2009, 23:12
| #10 |
| | MalewareproblemeCode:
ATTFilter .text C:\WINDOWS\system32\svchost.exe[992] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FF949C5
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\svchost.exe[1128] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\svchost.exe[1128] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\svchost.exe[1128] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\svchost.exe[1128] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\svchost.exe[1128] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\svchost.exe[1128] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\svchost.exe[1152] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\svchost.exe[1152] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\svchost.exe[1152] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\svchost.exe[1152] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\svchost.exe[1152] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\svchost.exe[1152] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\svchost.exe[1268] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\svchost.exe[1268] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\svchost.exe[1268] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\svchost.exe[1268] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\svchost.exe[1268] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\svchost.exe[1268] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\wdfmgr.exe[1316] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\wdfmgr.exe[1316] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\wdfmgr.exe[1316] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\wdfmgr.exe[1316] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\wdfmgr.exe[1316] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\wdfmgr.exe[1316] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\UAService7.exe[1424] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\UAService7.exe[1424] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\UAService7.exe[1424] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\UAService7.exe[1424] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\UAService7.exe[1424] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\UAService7.exe[1424] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe[1432] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe[1432] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe[1432] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe[1432] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe[1432] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe[1432] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Canon\CAL\CALMAIN.exe[1592] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Canon\CAL\CALMAIN.exe[1592] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Canon\CAL\CALMAIN.exe[1592] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Canon\CAL\CALMAIN.exe[1592] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Canon\CAL\CALMAIN.exe[1592] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Canon\CAL\CALMAIN.exe[1592] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2148] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2148] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2148] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2148] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2148] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe[2148] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe[2348] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe[2348] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe[2348] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe[2348] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe[2348] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe[2348] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\System32\alg.exe[2524] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\System32\alg.exe[2524] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\System32\alg.exe[2524] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\System32\alg.exe[2524] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\System32\alg.exe[2524] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\System32\alg.exe[2524] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\wscntfy.exe[2540] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\wscntfy.exe[2540] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\wscntfy.exe[2540] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\wscntfy.exe[2540] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\wscntfy.exe[2540] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\wscntfy.exe[2540] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Internet Explorer\iexplore.exe[3032] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Internet Explorer\iexplore.exe[3032] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Internet Explorer\iexplore.exe[3032] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Internet Explorer\iexplore.exe[3032] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Internet Explorer\iexplore.exe[3032] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Internet Explorer\iexplore.exe[3032] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Internet Explorer\iexplore.exe[3032] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF2C1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3032] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 4467166F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3032] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 446715F0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3032] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 44671634 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3032] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 4467157C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3032] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 446715B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3032] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 446716AA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3032] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 44501676 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe[3080] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe[3080] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe[3080] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe[3080] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe[3080] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe[3080] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Messenger\msmsgs.exe[3208] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Messenger\msmsgs.exe[3208] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Messenger\msmsgs.exe[3208] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Messenger\msmsgs.exe[3208] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Messenger\msmsgs.exe[3208] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Messenger\msmsgs.exe[3208] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\explorer.exe[3320] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\explorer.exe[3320] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\explorer.exe[3320] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\explorer.exe[3320] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\explorer.exe[3320] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\explorer.exe[3320] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
|
|
02.08.2009, 23:14
| #11 |
| | MalewareproblemeCode:
ATTFilter
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\ctfmon.exe[3616] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\ctfmon.exe[3616] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\ctfmon.exe[3616] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\ctfmon.exe[3616] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\ctfmon.exe[3616] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\ctfmon.exe[3616] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text D:\Fabian\Maleware\k6rcph30.exe[4332] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text D:\Fabian\Maleware\k6rcph30.exe[4332] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text D:\Fabian\Maleware\k6rcph30.exe[4332] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text D:\Fabian\Maleware\k6rcph30.exe[4332] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text D:\Fabian\Maleware\k6rcph30.exe[4332] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text D:\Fabian\Maleware\k6rcph30.exe[4332] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[5236] ntdll.dll!NtCreateFile 7C91D682 5 Bytes CALL 7FFA48E8
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[5236] ntdll.dll!NtCreateProcess 7C91D754 5 Bytes CALL 7FFA4977
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[5236] ntdll.dll!NtCreateProcessEx 7C91D769 5 Bytes CALL 7FFA4984
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[5236] ntdll.dll!NtDeviceIoControlFile 7C91D8E3 5 Bytes CALL 7FFA4C08
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[5236] ntdll.dll!NtOpenFile 7C91DCFD 5 Bytes CALL 7FFA496D
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[5236] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes CALL 7FFA49C5
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[HAL.dll!KfLowerIrql] [F72F173F] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[HAL.dll!KfRaiseIrql] [F7305F0A] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[HAL.dll!KfReleaseSpinLock] [F72F817D] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[HAL.dll!KfAcquireSpinLock] [F72F0A32] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[HAL.dll!KeGetCurrentIrql] [F7306106] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[HAL.dll!KeRaiseIrqlToDpcLevel] [F7305800] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[HAL.dll!KeQueryPerformanceCounter] [F72F0B8F] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[HAL.dll!ExAcquireFastMutex] [F72F1725] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[HAL.dll!ExReleaseFastMutex] [F72F3667] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisUnchainBufferAtFront] [F72F1A44] NDIS.sys (NDIS 5.1 wrapper driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisAllocateBuffer] 00000000
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisFreePacket] [80569C5E] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisAllocatePacket] [805356F5] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisSetPacketPoolProtocolId] [80536F94] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisAllocatePacketPoolEx] [80537109] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisReturnPackets] [80536FB8] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCompleteBindAdapter] [804FE624] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisReEnumerateProtocolBindings] [804F6D58] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisFreeBufferPool] [804F6D46] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisFreePacketPool] [804F6C92] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisAllocateBufferPool] [804F8DFA] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCompletePnPEvent] [8056833A] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [805331F4] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCancelSendPackets] [804F9424] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [804FDD8C] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisFreeMemory] [804F8C36] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisQueryAdapterInstanceName] [804F8CF8] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCopyBuffer] [804F9D3C] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [80533174] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisGetReceivedPacket] [8059C382] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [804FE214] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisGetDriverHandle] [804FE78C] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTESignal] [8054121C] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTESystemUpTime] [8053378C] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTEScheduleDelayedEvent] [805D18D0] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTEInitEvent] [805D1244] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTEStartTimer] [805D7CAC] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTEInitTimer] [8066E7EC] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTEBlock] [805D84F0] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiProviderReady] [80568524] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTEInitialize] [805B44D8] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiDeregisterNetAddress] [805ECC36] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterNetAddress] [805D8144] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiDeregisterDeviceObject] [805D81F8] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTEBlockWithTracker] [805D8034] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTELogEvent] [805B43C0] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [804EDFEA] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiCopyMdlChainToMdlChain] [804F01C0] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiPnPPowerRequest] [8056A520] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiDeregisterProvider] [80521FBE] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterProvider] [805D1692] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiInitialize] [805D14BA] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiDeregisterPnPHandlers] [80567FC6] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterPnPHandlers] [805D7C4C] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTEScheduleEvent] [805D7C34] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiCopyBufferToMdl] [805B438C] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTERemoveBlockTracker] [805D0FA0] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!CTEInsertBlockTracker] [805D832A] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiMapUserRequest] [805D847A] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiCopyBufferToMdlWithReservedMappingAtDpcLevel] [805D83E0] \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\ipnat.sys[tcpip.sys!LookupRouteInformation] [F416361C] \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\ipnat.sys[tcpip.sys!LookupRouteInformationWithBuffer] [F4163642] \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\ipnat.sys[tcpip.sys!LookupRoute] [F414CC08] \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\ipnat.sys[tcpip.sys!tcpxsum] [F41670E8] \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\ipnat.sys[tcpip.sys!IPAllocBuff] [F4178E26] \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[tcpip.sys!IPDeregisterARP] [F417BA43] \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[tcpip.sys!IPRegisterARP] [F41639D0] \SystemRoot\system32\DRIVERS\tcpip.sys (TCP/IP Protocol Driver/Microsoft Corporation)
|
|
02.08.2009, 23:15
| #12 |
| | MalewareproblemeCode:
ATTFilter ---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\wscntfy.exe[2540] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [008D2F30] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\wscntfy.exe[2540] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [008D2CA0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\wscntfy.exe[2540] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [008D2D00] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\wscntfy.exe[2540] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [008D2CD0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Internet Explorer\iexplore.exe[3032] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00912F30] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Internet Explorer\iexplore.exe[3032] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00912CA0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Internet Explorer\iexplore.exe[3032] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00912D00] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Internet Explorer\iexplore.exe[3032] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00912CD0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Messenger\msmsgs.exe[3208] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00AC2F30] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Messenger\msmsgs.exe[3208] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00AC2CA0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Messenger\msmsgs.exe[3208] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00AC2D00] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Messenger\msmsgs.exe[3208] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00AC2CD0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\explorer.exe[3320] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [009B2F30] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\explorer.exe[3320] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [009B2CA0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\explorer.exe[3320] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [009B2D00] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\explorer.exe[3320] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [009B2CD0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00A52F30] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00A52CA0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00A52D00] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe[3492] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00A52CD0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00C02F30] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00C02CA0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00C02D00] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Java\jre1.6.0\bin\jusched.exe[3536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00C02CD0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [008B2F30] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [008B2CA0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [008B2D00] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3568] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [008B2CD0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ctfmon.exe[3616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [009E2F30] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ctfmon.exe[3616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [009E2CA0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ctfmon.exe[3616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [009E2D00] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\ctfmon.exe[3616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [009E2CD0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT D:\Fabian\Maleware\k6rcph30.exe[4332] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00802F30] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT D:\Fabian\Maleware\k6rcph30.exe[4332] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00802CA0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT D:\Fabian\Maleware\k6rcph30.exe[4332] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00802D00] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT D:\Fabian\Maleware\k6rcph30.exe[4332] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00802CD0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Fastfat \FatCdrom 859A896C
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\Cdrom \Device\CdRom0 85722658
Device \FileSystem\Rdbss \Device\FsWrap 8571C9D4
Device \Driver\Cdrom \Device\CdRom1 85722658
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 859359D0
Device \Driver\atapi \Device\Ide\IdePort0 859359D0
Device \Driver\atapi \Device\Ide\IdePort1 859359D0
Device \Driver\atapi \Device\Ide\IdePort2 859359D0
Device \Driver\atapi \Device\Ide\IdePort3 859359D0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-1b 859359D0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-13 859359D0
Device \Driver\Cdrom \Device\CdRom2 85722658
Device \FileSystem\Srv \Device\LanmanServer 84258C6C
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8571F61C
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8571F61C
Device \FileSystem\Npfs \Device\NamedPipe 85775B2C
Device \FileSystem\Msfs \Device\Mailslot 85774254
Device \Driver\xmasscsi \Device\Scsi\xmasscsi1Port4Path0Target0Lun0 857D5C88
Device \Driver\xmasscsi \Device\Scsi\xmasscsi1 857D5C88
Device \FileSystem\Fastfat \Fat 859A896C
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
Device \FileSystem\Fs_Rec \FileSystem\NtfsRecognizer 85773A44
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 85773A44
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 85773A44
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 85773A44
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 85773A44
Device \FileSystem\Cdfs \Cdfs 852F563C
---- Modules - GMER 1.0.15 ----
Module _________ F73A1000-F73B9000 (98304 bytes)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
---- EOF - GMER 1.0.15 ----
hoffe ihr könnt mir weiterhelfen. danke! |
|
02.08.2009, 23:42
| #13 |
| /// Helfer-Team | Malewareprobleme @Freddy11 Hallo und Herzlich Willkommen! Forumregeln bitte beachten!: Jeder User macht einen eigenen Thread auf!  `Malwareprobleme`? wundert mich ja garnicht: Code:
ATTFilter Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 - Eine Säuberung ist nicht möglich, also nimm den Rechner vom Netz und installiere ihn neu! - Trenne deinen Computer vom Internet - Installiere XP neu - Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus - Firewall aktivieren und Antivirensoftware installieren - Installiere alle Treiber - Installiere alle Service Packs Die Service Pack 2 CD (für XP) kannst du Dir bestellen, indem du folgende Seite besuchst: Microsoft Windows XP Service Pack 2 (SP2) dann das Service Pack 3 einspielen (Bebilderte Anleitung) - Verbinde deinen Computer mit dem Internet - Antivirensoftware neuste Updates laden lassen - Windowsupdate ausführen und neuste Updates laden - Nach Viren scannen inkl. externe Speichermedien. gruß Coverflow |
|
03.08.2009, 00:02
| #14 | ||
| /// Helfer-Team | Malewareprobleme @ Eduneum 1. Zitat:
wie hast Du sie entfernt? 2. Zitat:
 am besten sofort deinstallieren: unter "Start→ Systemsteureung→ Software→ Ändern/Entfernen..." 3. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! - Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung... - danach (Falls noch existieren) alte Versionen deinstallieren! `Systemsteuerung → Software → Ändern/Entfernen...` |
|
03.08.2009, 00:11
| #15 |
| | Malewareprobleme ÄH, kurze Frage: wie gibts das, dass ich kein service pack 2 drauf hab? Auf meiner XP- Cd steht, dass es enthalten sein muss, wie kann man das installieren? müsste das nicht gleich bei der xp installation mit installiert worden sein? die torC6.tmp hab ich wahrscheinlich in meinem "Malewaregemtzel" i-wie gekillt. lösch schon seit stunden von hand aus an den problemdateien rum und ersetz fehlerhafte systemdateien. hab schon 2 antivirenprogramme und 3 antyspywar programme zum lösen meiner probleme probiert (natürlich nicht gleichzeitig). hab aber echt keinen bock zum neuaufsetzen. hab dann ur die probleme weil viele meiner programme studentenlizenzen sind. PS: das mit emule und so weiß ich eh, danke^^ |
|
| Themen zu Malewareprobleme |
| ad-aware, add-on, adobe, antivirus, bereit, bho, bonjour, canon, computer, desktop, einstellungen, explorer, google, hijack, hkus\s-1-5-18, internet, internet explorer, internet security, logfile, monitor, nvidia, object, problem, rundll, security, senden, software, super, symantec, temp, userinit.exe, windows, windows\temp |
Linear-Darstellung
