| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: RootkitsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
13.08.2009, 19:07
| #1 | |
| |  Rootkits Hallo! Ich habe das Programm "Sophos Anti-Rootkit" mal über meinen PC laufen lassen und der hat dann ziemlich viele Dateien gefunden. Leider kann ich damit nichts anfangen, da ich nicht so in der Materie drin bin. Könnte mir vielleicht jemand helfen und sagen welche Dateien ich löschen kann/darf/muss? Habe in letzter Zeit öfter Probleme mit meinem PC und seitdem ich versucht habe Internet Explorer zu aktualisieren spinnt er völlig.D.h. IE ist nicht mehr aufzufinden, wird jedoch trotzdem noch manchmal automatisch mit irgendwelchen Werbeseiten geöffnet. Die Schnellstartleiste ist auch verschwunden. Naja vielleicht liegt ja bei einer dieser Dateien das Problem. Vielen Dank im Vorraus. Zitat:
|
|
13.08.2009, 21:29
| #2 |
| /// Helfer-Team    | Rootkits Hallo und Herzlich Willkommen!
__________________ - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 6.
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
|
14.08.2009, 14:15
| #3 |
| | Rootkits Hier sind die logfiles!
__________________Hijack: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:44:41, on 14.08.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\msb.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\RunDLL32.exe C:\WINDOWS\system32\mmrtkrnl.exe C:\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe D:\Java\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe D:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mozilla.org/products/firefox/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Real Player\rpbrowserrecordplugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Java\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Java\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (file missing) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoveWGA] N:\RemoveWGA\RemoveWGA.exe -startup Filelist.zip: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 2430-4A6B
Verzeichnis von C:\
14.08.2009 10:50 43 filelist.txt
14.08.2009 09:50 805.306.368 pagefile.sys
27.07.2009 10:31 211 boot.ini
05.06.2009 12:51 770.946 temp.raw
19.02.2009 18:00 5.020 ZbThumbnail.info
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 2430-4A6B
Verzeichnis von C:\WINDOWS
14.08.2009 10:47 1.911.728 WindowsUpdate.log
14.08.2009 09:51 156.926 spupdsvc.log
14.08.2009 09:51 0 0.log
14.08.2009 09:51 159 wiadebug.log
14.08.2009 09:51 50 wiaservc.log
14.08.2009 09:50 2.048 bootstat.dat
13.08.2009 23:50 32.580 SchedLgU.Txt
13.08.2009 23:49 1.518.330 ie8_main.log
13.08.2009 23:49 936.968 iis6.log
13.08.2009 23:49 165.567 ntdtcsetup.log
13.08.2009 23:49 267.765 comsetup.log
13.08.2009 23:49 45.037 ocmsn.log
13.08.2009 23:49 1.374 imsins.log
13.08.2009 23:49 375.792 tsoc.log
13.08.2009 23:49 39.497 tabletoc.log
13.08.2009 23:49 767.620 ie8.log
13.08.2009 23:49 141.207 netfxocm.log
13.08.2009 23:49 56.617 MedCtrOC.log
13.08.2009 23:49 408.146 ocgen.log
13.08.2009 23:49 39.942 msgsocm.log
13.08.2009 23:49 803.340 FaxSetup.log
13.08.2009 23:49 268.024 msmqinst.log
13.08.2009 23:49 752.297 updspapi.log
13.08.2009 23:40 336.056 ie8Uninst.log
13.08.2009 23:26 1.374 imsins.BAK
13.08.2009 23:00 702.884 setupapi.log
13.08.2009 23:00 458.313 KB972260-IE8.log
13.08.2009 22:59 420.461 KB972636-IE8.log
12.08.2009 10:56 159.850 wmsetup.log
12.08.2009 10:53 26.370 setupact.log
11.08.2009 14:54 123.392 msc.exe
11.08.2009 14:50 123.392 msa.exe
11.08.2009 14:50 123.392 msb.exe
11.08.2009 14:50 123.392 msd.exe
09.08.2009 14:38 49 NeroDigital.ini
31.07.2009 10:57 419 wincmd.ini
27.07.2009 10:31 857 win.ini
27.07.2009 10:31 260 system.ini
26.07.2009 19:34 29.794 wmp11Uninst.log
26.07.2009 19:33 1.533 wmsetup10.log
26.07.2009 18:50 19.590 KB926239.log
26.07.2009 18:49 13.641 MSCompPackV1.log
26.07.2009 18:49 154.063 wmp11.log
26.07.2009 18:48 171.345 WMFDist11.log
26.07.2009 18:47 4.758 Wudf01000Inst.log
25.07.2009 17:36 0 setuperr.log
23.07.2009 22:38 184.446 DirectX.log
23.07.2009 22:38 525 DXError.log
21.07.2009 12:33 5.213 KB954154Uninst.log
18.07.2009 12:27 1.104.909 setupapi.log.3.old
23.06.2009 21:37 78.394 KB971930-IE8.log
23.06.2009 21:36 93.236 KB969897-IE8.log
01.06.2009 13:06 4.099 Wdf01007Inst.log
15.05.2009 17:45 1.680.648 CISUnins.exe
15.05.2009 17:45 1.680.648 CICUnins.exe
15.04.2009 12:25 88.435 KB968220-IE8.log
01.03.2009 14:21 398 cmbtll.ini
01.03.2009 14:21 127 cmbtctl.ini
01.03.2009 14:21 68 combit.ini
----- System ---
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 2430-4A6B
Verzeichnis von C:\WINDOWS\system
04.08.2004 00:58 146.944 WINSPOOL.DRV
04.08.2004 00:37 69.632 MMSYSTEM.DLL
18.08.2001 12:00 2.000 KEYBOARD.DRV
18.08.2001 12:00 109.504 AVIFILE.DLL
18.08.2001 12:00 73.760 MCIAVI.DRV
18.08.2001 12:00 25.296 MCISEQ.DRV
18.08.2001 12:00 28.160 MCIWAVE.DRV
18.08.2001 12:00 9.936 LZEXPAND.DLL
18.08.2001 12:00 33.744 COMMDLG.DLL
18.08.2001 12:00 1.152 MMTASK.TSK
18.08.2001 12:00 2.032 MOUSE.DRV
18.08.2001 12:00 127.104 MSVIDEO.DLL
18.08.2001 12:00 82.944 OLECLI.DLL
18.08.2001 12:00 24.064 OLESVR.DLL
18.08.2001 12:00 59.167 setup.inf
18.08.2001 12:00 5.120 SHELL.DLL
18.08.2001 12:00 1.744 SOUND.DRV
18.08.2001 12:00 5.532 stdole.tlb
18.08.2001 12:00 3.360 SYSTEM.DRV
18.08.2001 12:00 19.200 TAPI.DLL
18.08.2001 12:00 4.048 TIMER.DRV
18.08.2001 12:00 9.200 VER.DLL
18.08.2001 12:00 2.176 VGA.DRV
18.08.2001 12:00 13.600 WFWNET.DRV
18.08.2001 12:00 70.368 AVICAP.DLL
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 562.991.104 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 2430-4A6B
Verzeichnis von C:\WINDOWS\system32
14.08.2009 09:51 104 nvapps.xml
13.08.2009 23:42 1.594.896 FNTCACHE.DAT
12.08.2009 10:56 64.314 perfc009.dat
12.08.2009 10:56 408.792 perfh009.dat
12.08.2009 10:56 424.782 perfh007.dat
12.08.2009 10:56 77.908 perfc007.dat
12.08.2009 10:56 986.614 PerfStringBackup.INI
09.08.2009 10:15 2.206 wpa.dbl
03.08.2009 11:45 531.192 pxdrv.dll
03.08.2009 11:45 158.456 pxwma.dll
29.07.2009 17:49 24.281.536 MRT.exe
27.07.2009 09:45 16.832 amcompat.tlb
27.07.2009 09:45 23.392 nscompat.tlb
23.07.2009 11:09 148.888 javaws.exe
23.07.2009 11:09 144.792 javaw.exe
23.07.2009 11:09 73.728 javacpl.cpl
23.07.2009 11:09 144.792 java.exe
23.07.2009 11:09 410.984 deploytk.dll
26.06.2009 19:44 87 ssprs.tgz
26.06.2009 19:44 73 ssprs.dll
26.06.2009 19:44 219 lsprst7.tgz
26.06.2009 19:44 205 lsprst7.dll
01.06.2009 12:58 1.112.288 WdfCoInstaller01007.dll
17.03.2009 10:38 70.656 RLAPEDec.ax
08.03.2009 14:29 1.302.528 ieframe.dll.mui
08.03.2009 14:29 57.344 msrating.dll.mui
08.03.2009 14:28 2.560 mshta.exe.mui
08.03.2009 14:27 4.096 ie4uinit.exe.mui
08.03.2009 14:27 12.288 advpack.dll.mui
08.03.2009 14:27 81.920 iedkcs32.dll.mui
08.03.2009 14:09 391.536 iedkcs32.dll
08.03.2009 04:41 5.937.152 mshtml.dll
08.03.2009 04:39 11.063.808 ieframe.dll
08.03.2009 04:35 385.024 html.iec
08.03.2009 04:34 914.944 wininet.dll
08.03.2009 04:34 1.206.784 urlmon.dll
08.03.2009 04:34 1.469.440 inetcpl.cpl
08.03.2009 04:34 208.384 WinFXDocObj.exe
08.03.2009 04:34 236.544 webcheck.dll
08.03.2009 04:34 43.008 licmgr10.dll
08.03.2009 04:34 105.984 url.dll
08.03.2009 04:34 193.536 msrating.dll
08.03.2009 04:34 109.568 occache.dll
08.03.2009 04:33 18.944 corpol.dll
08.03.2009 04:33 25.600 jsproxy.dll
08.03.2009 04:33 726.528 jscript.dll
08.03.2009 04:33 229.376 ieaksie.dll
08.03.2009 04:33 420.352 vbscript.dll
08.03.2009 04:33 125.952 ieakeng.dll
08.03.2009 04:32 72.704 admparse.dll
08.03.2009 04:32 173.056 ie4uinit.exe
08.03.2009 04:32 36.864 ieudinit.exe
08.03.2009 04:32 163.840 ieakui.dll
08.03.2009 04:32 55.808 iernonce.dll
08.03.2009 04:32 71.680 iesetup.dll
08.03.2009 04:32 128.512 advpack.dll
08.03.2009 04:32 94.720 inseng.dll
08.03.2009 04:32 594.432 msfeeds.dll
08.03.2009 04:32 1.985.024 iertutil.dll
08.03.2009 04:32 611.840 mstime.dll
08.03.2009 04:31 183.808 iepeers.dll
08.03.2009 04:31 13.312 msfeedssync.exe
08.03.2009 04:31 55.296 msfeedsbs.dll
08.03.2009 04:31 59.904 icardie.dll
08.03.2009 04:31 348.160 dxtmsft.dll
08.03.2009 04:31 34.816 imgutil.dll
08.03.2009 04:31 216.064 dxtrans.dll
08.03.2009 04:31 46.592 pngfilt.dll
08.03.2009 04:31 66.560 mshtmled.dll
08.03.2009 04:31 48.128 mshtmler.dll
08.03.2009 04:31 1.638.912 mshtml.tlb
08.03.2009 04:31 45.568 mshta.exe
08.03.2009 04:30 66.560 tdc.ocx
08.03.2009 04:22 164.352 ieui.dll
08.03.2009 04:22 156.160 msls31.dll
08.03.2009 04:15 57.667 ieuinit.inf
08.03.2009 04:11 445.952 ieapfltr.dll
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 2430-4A6B
Verzeichnis von C:\WINDOWS\Prefetch
14.08.2009 10:50 19.018 CMD.EXE-087B4001.pf
14.08.2009 10:49 23.226 VERCLSID.EXE-3667BD89.pf
14.08.2009 10:49 17.854 TONAUDI.EXE-24DFFC8C.pf
14.08.2009 10:49 9.954 SC_WATCH.EXE-0267E0CE.pf
14.08.2009 10:49 30.542 KERNEL.EXE-2A5272DA.pf
14.08.2009 10:44 17.050 NOTEPAD.EXE-336351A9.pf
14.08.2009 10:44 64.746 WMIPRVSE.EXE-28F301A9.pf
14.08.2009 10:42 34.326 AVWSC.EXE-24612965.pf
14.08.2009 10:39 82.698 WUAUCLT.EXE-399A8E72.pf
14.08.2009 10:15 63.282 WMPLAYER.EXE-09969333.pf
14.08.2009 10:15 106.854 WINWORD.EXE-0B995611.pf
14.08.2009 10:14 93.332 ICQ.EXE-18F56D18.pf
14.08.2009 10:14 33.082 GOOGLEUPDATE.EXE-187AE91D.pf
14.08.2009 10:11 38.620 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
14.08.2009 10:10 107.356 IEXPLORE.EXE-2CA9778D.pf
14.08.2009 10:10 29.170 REALPLAY.EXE-2EE60439.pf
14.08.2009 10:10 46.700 NTVDM.EXE-1A10A423.pf
14.08.2009 10:09 57.962 AVCENTER.EXE-1D2DB8A2.pf
14.08.2009 10:01 54.186 PROFIL~1.EXE-32620614.pf
14.08.2009 10:00 20.146 MSB.EXE-1B32DC30.pf
14.08.2009 09:52 15.812 SVCHOST.EXE-3530F672.pf
14.08.2009 09:52 51.190 ALG.EXE-0F138680.pf
14.08.2009 09:52 60.558 IMAPI.EXE-0BF740A4.pf
14.08.2009 09:52 22.494 WMIAPSRV.EXE-1E2270A5.pf
14.08.2009 09:52 23.674 RUNDLL32.EXE-35A483DA.pf
13.08.2009 23:49 72.158 LOGONUI.EXE-0AF22957.pf
13.08.2009 23:49 9.148 QTTASK.EXE-22EA4877.pf
13.08.2009 23:49 24.826 REGSVR32.EXE-25EEFE2F.pf
13.08.2009 23:32 68.404 WMPLAYER.EXE-09969338.pf
13.08.2009 22:56 22.016 TASKMGR.EXE-20256C55.pf
13.08.2009 21:28 12.618 RUNDLL32.EXE-451FC2C0.pf
13.08.2009 19:12 62.888 MOVIEMK.EXE-26DF9BB8.pf
13.08.2009 19:10 90.056 MSIEXEC.EXE-2F8A8CAE.pf
13.08.2009 18:24 52.498 GOOGLEUPDATER.EXE-36CE3796.pf
13.08.2009 15:21 49.618 AVSCAN.EXE-25724B6E.pf
13.08.2009 14:35 34.010 CTFMON.EXE-0E17969B.pf
13.08.2009 12:53 59.552 AVNOTIFY.EXE-31D7686A.pf
13.08.2009 12:53 61.450 UPDATE.EXE-3398FCD6.pf
12.08.2009 21:22 27.246 MSA.EXE-1E98B210.pf
12.08.2009 12:14 13.392 GOOGLECRASHHANDLER.EXE-2EEBA74C.pf
12.08.2009 11:00 11.758 C.EXE-11FF479F.pf
12.08.2009 10:44 13.630 IPODSERVICE.EXE-233792DA.pf
12.08.2009 10:44 54.894 CALMAIN.EXE-2403E25F.pf
11.08.2009 20:54 16.302 SNDVOL32.EXE-383480B7.pf
11.08.2009 18:15 50.516 WMPLAYER.EXE-09969339.pf
11.08.2009 18:03 54.350 VLC.EXE-392D1578.pf
11.08.2009 14:58 55.040 PPTVIEW.EXE-11A5695A.pf
11.08.2009 14:55 22.394 VCREDI~3.EXE-073173DB.pf
11.08.2009 14:50 13.200 Q.EXE-1DFEC23C.pf
11.08.2009 14:49 18.206 P.EXE-1BCCCC04.pf
11.08.2009 14:49 26.540 VISIPPT.1.3.45089.EXE-00199985.pf
11.08.2009 14:48 38.494 WMFDIST.EXE-0ABDAC34.pf
11.08.2009 14:48 22.264 SETUP_WM.EXE-29F487C4.pf
11.08.2009 14:48 23.322 VCREDIST_X86_SP1.EXE-28F4CC00.pf
11.08.2009 14:48 20.018 VISIPPT.TMP-0C154BE5.pf
11.08.2009 14:48 15.280 VISIPPT.EXE-315B7E96.pf
11.08.2009 14:39 28.814 RUNDLL32.EXE-1280B32B.pf
11.08.2009 14:32 28.814 RUNDLL32.EXE-3888A851.pf
11.08.2009 14:27 28.676 RUNDLL32.EXE-457CBCD5.pf
11.08.2009 14:26 28.886 RUNDLL32.EXE-370F5DBB.pf
11.08.2009 14:05 37.986 RUNDLL32.EXE-39A10B7A.pf
11.08.2009 13:58 29.202 RUNDLL32.EXE-296E4097.pf
11.08.2009 13:50 54.686 RUNDLL32.EXE-43C1A936.pf
11.08.2009 12:39 17.616 RUNDLL32.EXE-147F2DFD.pf
11.08.2009 12:34 23.150 RUNDLL32.EXE-15BD171B.pf
11.08.2009 12:29 16.062 RUNDLL32.EXE-44CFB6BC.pf
11.08.2009 12:29 26.502 RUNDLL32.EXE-188DF14E.pf
11.08.2009 12:27 29.110 RUNDLL32.EXE-401E08AB.pf
11.08.2009 12:24 29.098 RUNDLL32.EXE-45582840.pf
11.08.2009 12:22 29.178 RUNDLL32.EXE-1E919EFD.pf
11.08.2009 00:00 16.444 O.EXE-333211AE.pf
10.08.2009 23:58 12.972 N.EXE-06997C92.pf
10.08.2009 23:57 17.112 M.EXE-04CA40CB.pf
10.08.2009 23:57 21.136 VISIPPT.1.3.45089[1].EXE-15BFECD4.pf
10.08.2009 23:52 16.334 L.EXE-0E99D2E0.pf
10.08.2009 23:52 4.548 K.EXE-2B31BB60.pf
10.08.2009 23:51 16.690 J.EXE-23CD2252.pf
10.08.2009 23:51 4.548 I.EXE-15FE6BEE.pf
10.08.2009 23:51 7.310 H.EXE-390071C4.pf
10.08.2009 23:51 8.630 G.EXE-00CB1C7C.pf
10.08.2009 23:49 76.818 VISIPPT.1.3.45089.EXE-355EEEFC.pf
10.08.2009 23:47 45.650 VISIPPT.EXE-1AA1E00C.pf
10.08.2009 23:46 15.996 F.EXE-1298F72F.pf
10.08.2009 23:46 15.996 E.EXE-27329711.pf
10.08.2009 23:46 4.548 D.EXE-27CC46A1.pf
10.08.2009 23:45 17.098 B.EXE-0164CC0C.pf
10.08.2009 23:45 18.938 A.EXE-033407D3.pf
10.08.2009 23:44 4.696 SENDER.EXE-1D46C11B.pf
10.08.2009 23:44 44.176 RUNDLL32.EXE-43DA91E2.pf
10.08.2009 23:41 58.306 RUNDLL32.EXE-2E3DAE04.pf
10.08.2009 23:39 30.532 SOUNDAUTOTEST.EXE-061D26A8.pf
10.08.2009 23:38 19.384 VISIPPT.TMP-1E39B88B.pf
10.08.2009 23:38 15.264 VISIPPT.EXE-0D1AE64B.pf
10.08.2009 23:37 56.500 TMPGENC4XPTRIAL.EXE-2B2F8F85.pf
10.08.2009 23:37 18.308 VIRTUALDUB.EXE-33AF3106.pf
10.08.2009 23:30 34.192 RUNDLL32.EXE-30839EE6.pf
10.08.2009 23:15 37.934 MMC.EXE-39071BCC.pf
10.08.2009 23:14 63.168 RUNDLL32.EXE-147710F4.pf
10.08.2009 23:11 40.346 WMPLAYER.EXE-0996933C.pf
10.08.2009 22:59 58.402 RUNDLL32.EXE-2664E796.pf
10.08.2009 22:59 49.918 RUNDLL32.EXE-1425A2F2.pf
10.08.2009 22:45 19.096 RUNDLL32.EXE-12E27DD0.pf
10.08.2009 22:33 29.154 RUNDLL32.EXE-2C611F4C.pf
10.08.2009 21:54 29.170 SETUP_WM.EXE-19AC5A9B.pf
10.08.2009 21:53 22.972 RUNDLL32.EXE-17F29CE7.pf
10.08.2009 18:23 28.834 RUNDLL32.EXE-488A5BD2.pf
10.08.2009 17:50 28.874 RUNDLL32.EXE-4240B123.pf
10.08.2009 17:18 261.642 Layout.ini
10.08.2009 15:34 28.676 RUNDLL32.EXE-1A2E2690.pf
10.08.2009 15:34 28.914 RUNDLL32.EXE-18C045F7.pf
10.08.2009 14:52 28.874 RUNDLL32.EXE-441E37A8.pf
10.08.2009 14:45 17.942 RUNDLL32.EXE-24DBE541.pf
10.08.2009 14:28 28.934 RUNDLL32.EXE-3B959EBD.pf
10.08.2009 14:25 32.726 DIRECTTRANSFER.EXE-0749973E.pf
10.08.2009 14:25 26.042 CAMERALAUNCHERDVC6.EXE-14A84543.pf
10.08.2009 14:25 37.486 CAMERALAUNCHER.EXE-341385F9.pf
10.08.2009 14:24 63.288 ZOOMBROWSER.EXE-0AAC2EB1.pf
10.08.2009 14:24 57.162 CAMERAWINDOWCOMPDVC6.EXE-2E8AA2A8.pf
10.08.2009 14:18 105.464 DFRGNTFS.EXE-269967DF.pf
10.08.2009 14:18 17.712 DEFRAG.EXE-273F131E.pf
10.08.2009 13:24 27.574 RUNONCE.EXE-2803F297.pf
10.08.2009 13:12 14.296 RUNDLL32.EXE-2C703AED.pf
10.08.2009 13:12 14.296 RUNDLL32.EXE-14EC1EE8.pf
10.08.2009 13:12 14.996 RUNDLL32.EXE-4ABAF25B.pf
03.08.2009 18:42 0 DW20.EXE-005BA42F.pf
03.08.2009 18:14 0 CLEANMGR.EXE-1F86EA8E.pf
25.07.2009 16:11 73.718 SSTEXT3D.SCR-17B3B9DD.pf
14.07.2009 18:11 78.740 ICQ.EXE-2B2DD524.pf
25.06.2009 12:50 30.208 AVWSC.EXE-2F6C3C95.pf
02.03.2009 08:53 908.434 NTOSBOOT-B00DFAAD.pf
130 Datei(en) 5.554.818 Bytes
0 Verzeichnis(se), 562.868.224 Bytes frei
|
|
14.08.2009, 14:16
| #4 |
| | Rootkits hier ist der zweite teil Code:
ATTFilter ----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 2430-4A6B
Verzeichnis von C:\WINDOWS\tasks
14.08.2009 10:14 1.088 GoogleUpdateTaskMachineUA.job
14.08.2009 10:11 1.044 Google Software Updater.job
14.08.2009 10:01 244 Scheduled Update for Ask Toolbar.job
14.08.2009 10:00 258 {7B02EF0B-A410-4938-8480-9BA26420A627}.job
14.08.2009 10:00 296 {BB65B0FB-5712-401b-B616-E69AC55E2757}.job
14.08.2009 09:51 1.084 GoogleUpdateTaskMachineCore.job
14.08.2009 09:50 6 SA.DAT
07.08.2009 17:15 396 1-Klick-Wartung.job
9 Datei(en) 4.481 Bytes
0 Verzeichnis(se), 562.872.320 Bytes frei
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 2430-4A6B
Verzeichnis von C:\WINDOWS\Temp
14.08.2009 09:51 16.384 Perflib_Perfdata_174.dat
13.08.2009 14:37 16.384 Perflib_Perfdata_7ec.dat
06.08.2009 11:31 16.384 Perflib_Perfdata_194.dat
06.08.2009 11:14 16.384 Perflib_Perfdata_188.dat
25.07.2009 10:09 16.384 Perflib_Perfdata_e0.dat
25.07.2009 08:49 15.436 GoogleToolbarInstaller2.log
25.07.2009 08:49 13.774 GoogleToolbarInstaller1.log
28.05.2009 14:27 97 ~LHSAPI.DCT
19.05.2009 13:37 0 isF.tmp
19.05.2009 13:36 0 isC.tmp
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 2430-4A6B
Verzeichnis von C:\DOKUME~1\benny\LOKALE~1\Temp
14.08.2009 10:49 0 etilqs_8BqZh9KGzbxH1Bx1vw8S
14.08.2009 09:56 51.115 jusched.log
13.08.2009 23:29 813 shtdf~~
13.08.2009 23:23 19.228 c.dat
13.08.2009 22:56 1.438 GoogleToolbarInstaller2.log
13.08.2009 21:28 19.861 U3Launcher.log
13.08.2009 19:10 469.280 ASKSUTBLOG
13.08.2009 19:10 0 NEW19.tmp
13.08.2009 18:51 29.296 sarscan.log
13.08.2009 18:51 11.119.658 samples.sar
13.08.2009 16:59 19.160 a.dat
12.08.2009 17:01 10.465.368 SHSetup.exe
12.08.2009 12:34 1.528 iereseticons.log
12.08.2009 11:03 130 dw.log
12.08.2009 11:00 778 QTInstallCode.log
11.08.2009 21:28 58 jar_cache8783867839947065835.tmp
11.08.2009 21:28 217 jar_cache3209263258228155605.tmp
11.08.2009 21:28 906 jar_cache3185514952240281146.tmp
11.08.2009 21:28 639 jar_cache4731548753145895432.tmp
11.08.2009 21:26 2.090 jar_cache856917585796908575.tmp
11.08.2009 21:26 2.072 jar_cache7440118156558695756.tmp
11.08.2009 21:26 1.007 jar_cache3979802377896615277.tmp
11.08.2009 21:25 51.829 java_install_reg.log
11.08.2009 15:53 579.562.246 TFR1E.tmp
11.08.2009 15:53 5.218.606.302 TFR1F.tmp
11.08.2009 14:54 123.392 x.exe
11.08.2009 14:54 142.848 w.exe
11.08.2009 14:53 252.932 v.exe
11.08.2009 14:53 705.646 TFR15.tmp
11.08.2009 14:53 171.717 TFR18.tmp
11.08.2009 14:50 123.392 u.exe
11.08.2009 14:50 142.848 t.exe
11.08.2009 14:50 123.392 s.exe
11.08.2009 14:50 252.932 r.exe
11.08.2009 14:50 142.848 q.exe
11.08.2009 14:49 252.932 p.exe
11.08.2009 12:27 59.826 96e1_appcompat.txt
11.08.2009 12:22 988 b.dat
11.08.2009 00:01 16.384 ~DF4B8.tmp
10.08.2009 23:51 3.263.446 TFR16.tmp
10.08.2009 23:51 710.866 TFR17.tmp
10.08.2009 23:45 207.364 msxml71.dll
10.08.2009 23:42 529.246 TFRF.tmp
10.08.2009 23:42 354.202 TFR10.tmp
10.08.2009 23:13 0 JETECC9.tmp
10.08.2009 21:54 12.818 control.xml
07.08.2009 15:48 56.771 Report 31-09 WLV.pdf
07.08.2009 13:53 64.120 Agrar_Info_KW32.pdf
07.08.2009 11:26 36.480 GimmeSetup(200908071120187F0).log
07.08.2009 11:20 6.432 SetupExe(200908071120167F0).log
06.08.2009 17:37 57.978 Report 30-09 WLV.pdf
06.08.2009 17:35 1.093.478 Veredlungstag_Flyer_bunt.pdf
06.08.2009 17:34 78.924 020090805030035000.pdf
06.08.2009 12:54 0 JET3215.tmp
06.08.2009 11:43 2.206 GimmeSetup(20090806114302C50).log
06.08.2009 11:43 6.429 SetupExe(20090806114300C50).log
06.08.2009 11:28 16.384 ~DFF50F.tmp
06.08.2009 11:28 16.384 ~DF8740.tmp
06.08.2009 11:17 16.384 ~DFB33A.tmp
05.08.2009 16:51 151.288 2009_08rechnung_4771366231.pdf
04.08.2009 20:18 32.768 ~DFE8F6.tmp
04.08.2009 15:16 32.768 ~DFD58B.tmp
04.08.2009 13:31 309.121 Rez 420172 ff Bernh Volks.pdf
03.08.2009 16:10 229.376 ~DF3CEC.tmp
03.08.2009 12:44 229.376 ~DFD3C2.tmp
02.08.2009 19:39 229.376 ~DFFFC2.tmp
02.08.2009 16:51 229.376 ~DF870D.tmp
01.08.2009 21:44 64.674 Agrar_Info_KW31.pdf
01.08.2009 10:33 701 TWAIN.LOG
01.08.2009 10:33 156 Twunk001.MTX
01.08.2009 10:33 2 Twain001.Mtx
31.07.2009 18:16 229.376 ~DF30EE.tmp
31.07.2009 17:24 23.747 Wondershareppt2video.dat
31.07.2009 01:00 32.768 ~DF6FD4.tmp
26.07.2009 18:50 13.786 wmsetup.log
26.07.2009 18:30 3.875 qtplugin.log
25.07.2009 10:14 16.384 ~DFA019.tmp
25.07.2009 10:14 16.384 ~DF9FFC.tmp
24.07.2009 21:41 78.773 Agrar_Info_KW30.pdf
24.07.2009 21:39 57.198 Report 29-09 WLV.pdf
23.07.2009 11:09 26.715 java_install.log
23.07.2009 11:08 1.077 java_install_sp.log
23.07.2009 11:08 1.660.416 afc34d.mst
23.07.2009 11:04 965 jinstall.cfg
23.07.2009 11:00 223.396 wiVixGE3.jar.part
20.07.2009 17:32 5.760 7929_appcompat.txt
20.07.2009 11:25 16.384 ~DF6858.tmp
19.07.2009 17:24 96 TOB_ILP.xml
20.06.2009 21:35 121.064 set43.tmp
18.06.2009 12:55 61.440 dltkhh.exe
CCleaner: Code:
ATTFilter Ad-Aware SE Personal
Adobe Download Manager
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.3 - Deutsch
Adobe Shockwave Player 11
ANNO 1503
ANSTOSS 3
Ask Toolbar
Avira AntiVir Personal - Free Antivirus
Canon Camera Access Library
Canon Camera Support Core Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DC_DV 6 for ZoomBrowser EX
Canon Camera Window MC 6 for ZoomBrowser EX
Canon G.726 WMP-Decoder
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Canon Utilities PhotoStitch
Canon Utilities ZoomBrowser EX
CCleaner (remove only)
Counter-Strike 1.6
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
F1 2002
Free Studio version 4.1
Free YouTube to Mp3 Converter version 3.2
Fussball Manager 2003
Google Earth
Google Toolbar for Internet Explorer
Google Updater
GTA2
HijackThis 2.0.2
ICQ Toolbar
ICQ6.5
IKEA Home Planner
J2SE Runtime Environment 5.0 Update 8
Java(TM) 6 Update 14
Java(TM) 6 Update 2
Macromedia Extension Manager
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Halo Trial
Microsoft Office Enterprise 2007
Microsoft Office XP Professional mit FrontPage
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ Run Time Lib Setup
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
Mozilla Firefox (3.0.13)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 Parser and SDK
Need For Speed II SE
Nero 6 Ultra Edition
NVIDIA Drivers
PowerDVD
QuickTime
RealPlayer
SCHLECKER Foto Digital Service
Skype™ 3.5
Sophos Anti-Rootkit 1.5.0
SUPER © Version 2009.bld.36 (June 10, 2009)
T-DSL SpeedManager
T-Online 6.0
TmNationsForever
TMPGEnc 4.0 XPress Testversion
Tobit.Software clipinc.fx
Tunatic
Uninstall 1.0.0.1
Update Service
VisiPPT
VLC media player 0.9.8a
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Live installer
Windows Live Messenger
Windows Media Format 11 runtime
WinRAR
Worms2
Code:
ATTFilter GMER 1.0.15.15020 [ulv6f7p5.exe] - http://www.gmer.net
Rootkit scan 2009-08-14 14:50:13
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT F8C6F5B6 ZwCreateKey
SSDT F8C6F5AC ZwCreateThread
SSDT F8C6F5BB ZwDeleteKey
SSDT F8C6F5C5 ZwDeleteValueKey
SSDT F8C6F5CA ZwLoadKey
SSDT F8C6F598 ZwOpenProcess
SSDT F8C6F59D ZwOpenThread
SSDT F8C6F5D4 ZwReplaceKey
SSDT F8C6F5CF ZwRestoreKey
SSDT F8C6F5C0 ZwSetValueKey
SSDT F8C6F5A7 ZwTerminateProcess
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA] [004182A9] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW] [0041831F] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!DialogBoxParamW] [004184A9] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!MessageBoxW] [004184B5] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow] [00418395] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!SetWindowPos] [0041843F] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!DialogBoxParamW] [004184A9] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!CreateWindowExW] [0041831F] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!MessageBoxW] [004184B5] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamA] [004184A9] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamW] [004184A9] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA] [004182A9] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW] [0041831F] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxA] [004184B5] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxW] [004184B5] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectA] [004184A3] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectW] [004184A3] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos] [0041843F] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow] [00418395] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW] [0041831F] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!DialogBoxParamW] [004184A9] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow] [00418395] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos] [0041843F] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxW] [004184B5] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxA] [004184B5] C:\WINDOWS\msb.exe
IAT C:\WINDOWS\msb.exe[1612] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxIndirectW] [004184A3] C:\WINDOWS\msb.exe
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
blacklight: Code:
ATTFilter 08/14/09 14:53:31 [Info]: BlackLight Engine 2.2.1092 initialized
08/14/09 14:53:31 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/14/09 14:53:31 [Note]: 7019 4
08/14/09 14:53:31 [Note]: 7005 0
08/14/09 14:54:36 [Note]: 7006 0
08/14/09 14:54:36 [Note]: 7011 1292
08/14/09 14:54:36 [Note]: 7035 0
08/14/09 14:54:36 [Note]: 7026 0
08/14/09 14:54:37 [Note]: 7026 0
08/14/09 14:54:42 [Note]: FSRAW library version 1.7.1024
08/14/09 15:00:24 [Note]: 2000 1012
08/14/09 15:00:24 [Note]: 2000 1012
08/14/09 15:00:24 [Note]: 2000 1012
08/14/09 15:04:11 [Note]: 7007 0
|
|
14.08.2009, 22:51
| #5 |
| /// Helfer-Team | Rootkits hi 1. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` Code:
ATTFilter Ask Toolbar - schädlich
Sophos Anti-Rootkit 1.5.0 - nicht nötig
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. Du hast das Logfile v. HijackThis nicht vollständig gepostet! erstelle bitte ein neues... 4. starte filelist.bat und poste von hier nur das Verzeichnis "C:\WINDOWS\tasks " |
|
15.08.2009, 14:14
| #6 |
| | Rootkits Dankeschön erst einmal für deine Hilfe. Hier sind die logfiles Malwarebytes Anti-Malware : Code:
ATTFilter Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2629
Windows 5.1.2600 Service Pack 2
15.08.2009 14:37:17
mbam-log-2009-08-15 (14-37-17).txt
Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|)
Durchsuchte Objekte: 244164
Laufzeit: 1 hour(s), 22 minute(s), 16 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\benny\Lokale Einstellungen\Temp\r.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\benny\Lokale Einstellungen\Temp\v.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\benny\Lokale Einstellungen\Temp\msxml71.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\benny\Lokale Einstellungen\Temp\p.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\benny\Lokale Einstellungen\Temp\q.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\benny\Lokale Einstellungen\Temp\t.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\benny\Lokale Einstellungen\Temp\w.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\meta4.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{4D66A07A-40A3-48B0-81B1-1336C78E06EE}\RP1304\A0371952.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{82DF6EFC-8306-47D8-ABFD-FAD3184A329A}\RP15\A0002422.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
Hijackthis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:05:44, on 15.08.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\RunDLL32.exe C:\WINDOWS\system32\mmrtkrnl.exe C:\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe D:\Java\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\system32\NOTEPAD.EXE D:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mozilla.org/products/firefox/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Real Player\rpbrowserrecordplugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Java\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Java\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (file missing) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoveWGA] N:\RemoveWGA\RemoveWGA.exe -startup O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i O4 - HKLM\..\Run: [QuickTime Task] "D:\Quick Time\qttask.exe" -atboottime O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [UpData] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [ClipIncSrvTray] "d:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [BD] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [NordBull] C:\WINDOWS\msb.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\LeechGet 2009\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\LeechGet 2009\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://D:\LeechGet 2009\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20080128-1 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1209411222 O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4866/mcfscan.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - d:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Update Service (gupdate1c989e18c98ee6) (gupdate1c989e18c98ee6) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Java\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TSMService - Unknown owner - C:\T-DSL SpeedManager\tsmsvc.exe (file missing) -- End of file - 11037 bytes filelist.bat(C:\WINDOWS\tasks) : Code:
ATTFilter ----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 2430-4A6B
Verzeichnis von C:\WINDOWS\tasks
15.08.2009 14:54 1.044 Google Software Updater.job
15.08.2009 14:54 1.084 GoogleUpdateTaskMachineCore.job
15.08.2009 14:54 6 SA.DAT
15.08.2009 14:14 1.088 GoogleUpdateTaskMachineUA.job
14.08.2009 17:15 396 1-Klick-Wartung.job
18.08.2001 12:00 65 desktop.ini
6 Datei(en) 3.683 Bytes
0 Verzeichnis(se), 577.691.648 Bytes frei
|
|
15.08.2009, 16:13
| #7 | |
| /// Helfer-Team | Rootkits hi 1. den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw - das Malwarebytes deinstallieren - F-secure und GMER auch bitte entfernen 2. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Zitat:
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
4. reinige dein System mit Ccleaner:
5.
6. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans 7. poste erneut: Trend Micro HijackThis-Logfile - Berichte wie es dein Rechner geht? |
|
02.01.2010, 20:36
| #8 |
| | Rootkits Hi, hier der bericht: ComboFix 10-01-01.05 - Lea 02.01.2010 20:04:04.4.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.502.214 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Lea\Desktop\Cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lea\Desktop\cfscript.txt AV: avast! antivirus 4.8.1368 [VPS 100102-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} FILE :: "c:\programme\Gemeinsame Dateien\ofyg.db" "c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat" "c:\windows\system32\fjhdyfhsn.bat" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\Gemeinsame Dateien\ofyg.db c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat c:\windows\system32\fjhdyfhsn.bat . ((((((((((((((((((((((( Dateien erstellt von 2009-12-02 bis 2010-01-02 )))))))))))))))))))))))))))))) . 2009-12-28 00:57 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2009-12-28 00:57 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2009-12-28 00:57 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys 2009-12-28 00:57 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys 2009-12-28 00:57 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2009-12-28 00:57 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr 2009-12-28 00:57 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys 2009-12-28 00:57 . 2009-11-24 23:50 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys 2009-12-28 00:57 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe 2009-12-28 00:57 . 2009-12-28 00:57 -------- d-----w- c:\programme\Alwil Software 2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\Malwarebytes 2009-12-27 13:15 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\programme\Malwarebytes-Anti-Malware 2009-12-27 13:15 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-27 13:03 . 2009-12-27 13:03 -------- d-----w- c:\dokumente und einstellungen\Lea Ersatz-Account\Lokale Einstellungen\Anwendungsdaten\Mozilla 2009-12-27 12:57 . 2009-12-27 12:57 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IECompatCache 2009-12-27 12:56 . 2009-12-27 12:56 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\PrivacIE 2009-12-27 12:45 . 2005-09-15 12:34 -------- d-----r- c:\dokumente und einstellungen\Administrator\Favoriten 2009-12-26 17:20 . 2009-12-26 17:20 -------- d-sh--w- c:\dokumente und einstellungen\Lea\PrivacIE 2009-12-26 13:49 . 2009-12-26 13:49 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-12-26 12:42 . 2009-12-26 12:42 -------- d-sh--w- c:\dokumente und einstellungen\Lea\IECompatCache 2009-12-26 12:28 . 2009-12-26 12:28 -------- d-sh--w- c:\dokumente und einstellungen\Lea\IETldCache 2009-12-26 12:08 . 2009-10-29 07:40 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll 2009-12-26 12:08 . 2009-10-29 07:40 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll 2009-12-26 12:06 . 2009-12-28 01:10 -------- d-----w- c:\windows\ie8updates 2009-12-26 11:59 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll 2009-12-26 11:28 . 2009-12-26 11:58 -------- dc-h--w- c:\windows\ie8 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-02 19:01 . 2008-01-05 17:06 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\Skype 2010-01-02 15:05 . 2008-01-05 17:11 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\skypePM 2009-12-27 20:34 . 2007-12-28 19:41 -------- d-----w- c:\programme\Avast 2009-12-27 12:51 . 2009-12-27 12:51 -------- d-----w- c:\programme\WinDirStat 2009-12-11 13:42 . 2005-09-12 09:36 462896 ----a-w- c:\windows\system32\perfh007.dat 2009-12-11 13:42 . 2005-09-12 09:36 85740 ----a-w- c:\windows\system32\perfc007.dat 2009-11-21 22:59 . 2009-11-21 22:59 -------- d-----w- c:\programme\MSECache 2009-10-29 07:40 . 2005-09-12 09:36 916480 ------w- c:\windows\system32\wininet.dll 2009-10-21 05:38 . 2005-09-12 09:36 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2005-09-12 09:36 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-13 10:32 . 2005-09-12 09:36 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:38 . 2005-09-12 09:36 79872 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:38 . 2005-09-12 09:36 150528 ----a-w- c:\windows\system32\rastls.dll 2008-10-20 22:42 . 2008-10-20 13:54 8462368 -csha-w- c:\windows\system32\drivers\fidbox.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-12-07 21686568] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688] "AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608] "CeEKEY"="c:\programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744] "TPNF"="c:\programme\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248] "Zooming"="ZoomingHook.exe" [2005-06-06 24576] "TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672] "TPSMain"="TPSMain.exe" [2005-08-12 266240] "SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784] "Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728] "dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941] "PadTouch"="c:\programme\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328] "Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Lea\Startmen\Programme\Autostart\ Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-6-17 59080] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28.12.2009 01:57 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28.12.2009 01:57 20560] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = www.google.com IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Lea\Anwendungsdaten\Mozilla\Firefox\Profiles\vesv165o.default\ FF - prefs.js: browser.startup.homepage - google.de FF - plugin: c:\dokumente und einstellungen\Lea\Anwendungsdaten\Mozilla\Firefox\Profiles\vesv165o.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-02 20:09 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2010-01-02 20:11:35 ComboFix-quarantined-files.txt 2010-01-02 19:11 ComboFix2.txt 2010-01-02 17:42 ComboFix3.txt 2008-10-20 21:22 Vor Suchlauf: 14 Verzeichnis(se), 22.753.341.440 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 22.719.107.072 Bytes frei - - End Of File - - AC05AC62BC12730CAA471A676BB82008 |
|
| Themen zu Rootkits |
| .com, adobe, browser, content.ie5, dateien, desktop, download, einstellungen, explorer, help, internet, internet explorer, löschen, microsoft, office, probleme, programm, programme, rootkit, rootkits, securom, sophos, sophos anti-rootkit, spark, super, system, system volume information, system32, vcredist, windows |
Linear-Darstellung
