![]() |
|
Plagegeister aller Art und deren Bekämpfung: sysrest.sys (Rootkit.Agent) von MBAM gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
![]() ![]() | ![]() sysrest.sys (Rootkit.Agent) von MBAM gefunden Ich habe vorgestern mal bei dem Rechner einer Freundin rein routinehalber MBAM laufen lassen. Viel kam dabei nicht heraus, allerdings machte mich der Eintrag sysrest.sys (Rootkit.Agent) stutzig. Habe dann mal ein wenig gegoogelt (u.a. auch bei Threatexpert reingeschaut) und gesehen, dass das wohl ein sehr übler Zeitgenosse zu sein scheint. Die Datei selbst konnte ich nicht mehr finden, allerdings jede Menge Registry Keys, die durch ihn verursacht werden sollen. Ich habe dann mal in einem Anflug von heroischem Selbsteifer und wider besserem Wissen Combofix ausgeführt, was dann fleißig zugeschlagen hat. Nun, das Log ist beigefügt. Bin nur froh, dass das Dingen überhaupt noch was auf der Festplatte gelassen hat... Besteht jetzt noch weiterer Bedarf? - Hal. P.S.: RSIT bricht bei der Ausführung von HijackThis mit einer Fehlermeldung ab. MBAM Log (Funde wurden gelöscht): Code:
ATTFilter Malwarebytes' Anti-Malware 1.40 Database version: 2551 Windows 5.1.2600 Service Pack 3 12.08.2009 13:51:54 mbam-log-2009-08-12 (13-51-47).txt Scan type: Full Scan (C:\|) Objects scanned: 204187 Time elapsed: 3 hour(s), 30 minute(s), 44 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 1 Registry Values Infected: 1 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> No action taken. Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Code:
ATTFilter ComboFix 09-08-10.06 - wehner 13.08.2009 16:23.1.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.272 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\grossmann\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\_ISDEL.EXE C:\_SETUP.DLL C:\mymm_win.dll C:\mymmpstr.dll c:\programme\INSTALL.LOG c:\windows\btish.dat c:\windows\bxhlx.dat c:\windows\cqgdo.dat c:\windows\dcbba.dat c:\windows\dhznu.dat c:\windows\djdmh.dat c:\windows\dsqou.dat c:\windows\eigbv.dat c:\windows\epfac.dat c:\windows\ezqkl.dat c:\windows\foxen.dat c:\windows\hrqvf.dat c:\windows\hvkzf.dat c:\windows\idnap.dat c:\windows\ihhuy.dat c:\windows\Installer\1f83d6.msi c:\windows\Installer\d2459f.msi c:\windows\Installer\de99f5.msi c:\windows\itsjq.dat c:\windows\jbnpg.dat c:\windows\jfpfe.dat c:\windows\jofkm.dat c:\windows\kbfpp.dat c:\windows\kbtnt.dat c:\windows\n_dexczk.dat c:\windows\n_lnsdua.dat c:\windows\n_ytwztu.dat c:\windows\ngkji.dat c:\windows\owbvp.dat c:\windows\oxqyu.dat c:\windows\pnemf.dat c:\windows\qulon.dat c:\windows\qwgzn.dat c:\windows\rfrni.dat c:\windows\rnyfq.dat c:\windows\system32\addxv.dll c:\windows\system32\adqcy.dll c:\windows\system32\ajndq.dat c:\windows\system32\akail.dll c:\windows\system32\alclm.dll c:\windows\system32\apgww.dll c:\windows\system32\appiz.dll c:\windows\system32\atltu.dll c:\windows\system32\bcljq.dll c:\windows\system32\bdsqu.dll c:\windows\system32\brozb.dll c:\windows\system32\btzvw.dll c:\windows\system32\buiqh.dll c:\windows\system32\buqys.dll c:\windows\system32\bviri.dll c:\windows\system32\byfrg.dll c:\windows\system32\cbjop.dat c:\windows\system32\cfjmt.dll c:\windows\system32\civqd.dll c:\windows\system32\ckkiw.dat c:\windows\system32\cmuiz.dll c:\windows\system32\cmxbs.dll c:\windows\system32\cnsku.dat c:\windows\system32\cotam.dat c:\windows\system32\cueho.dat c:\windows\system32\cufha.dll c:\windows\system32\cytld.dll c:\windows\system32\czvwj.dll c:\windows\system32\dcwww.dll c:\windows\system32\dedlk.dll c:\windows\system32\dfunf.dll c:\windows\system32\diumo.dll c:\windows\system32\dizae.dll c:\windows\system32\dksoo.dll c:\windows\system32\dmsyq.dll c:\windows\system32\dmucf.dll c:\windows\system32\drjzs.dll c:\windows\system32\dtrzi.dll c:\windows\system32\dvanl.dll c:\windows\system32\dvzlv.dll c:\windows\system32\dxcrw.dll c:\windows\system32\earab.dll c:\windows\system32\eatxv.dat c:\windows\system32\ebzdy.dll c:\windows\system32\ejxqs.dat c:\windows\system32\enyne.dat c:\windows\system32\etbos.dll c:\windows\system32\exufe.dll c:\windows\system32\fbadd.dll c:\windows\system32\fgwah.dll c:\windows\system32\fiekp.dll c:\windows\system32\fjvco.dll c:\windows\system32\fkson.dat c:\windows\system32\flkbw.dat c:\windows\system32\flqyw.dll c:\windows\system32\fnllw.dat c:\windows\system32\fonjh.dll c:\windows\system32\fptog.dll c:\windows\system32\frnqz.dll c:\windows\system32\fyuyp.dll c:\windows\system32\fznvl.dat c:\windows\system32\fzpnb.dll c:\windows\system32\ghgvh.dll c:\windows\system32\ghmjc.dat c:\windows\system32\girex.dll c:\windows\system32\gnnpo.dat c:\windows\system32\gojgi.dll c:\windows\system32\goofy.dll c:\windows\system32\gqjws.dll c:\windows\system32\grcbx.dll c:\windows\system32\grhpt.dll c:\windows\system32\gtalt.dll c:\windows\system32\gzcvq.dll c:\windows\system32\haqev.dll c:\windows\system32\hbxqh.dll c:\windows\system32\hgcox.dll c:\windows\system32\hggnv.dll c:\windows\system32\hhklp.dll c:\windows\system32\hixnf.dll c:\windows\system32\hmiba.dat c:\windows\system32\hmubo.dll c:\windows\system32\homly.dll c:\windows\system32\hoqgz.dll c:\windows\system32\hqkou.dll c:\windows\system32\hqvgz.dll c:\windows\system32\hsqcn.dll c:\windows\system32\huxfq.dll c:\windows\system32\hvihw.dll c:\windows\system32\ibbqn.dat c:\windows\system32\icsdq.dat c:\windows\system32\igxca.dll c:\windows\system32\iinsh.dll c:\windows\system32\isqru.dll c:\windows\system32\iuqcf.dll c:\windows\system32\iyodj.dat c:\windows\system32\jdcid.dll c:\windows\system32\jfdwm.dll c:\windows\system32\jfhlr.dll c:\windows\system32\jgxhf.dll c:\windows\system32\jhave.dll c:\windows\system32\jlqfr.dat c:\windows\system32\jwrma.dll c:\windows\system32\jwsqe.dll c:\windows\system32\kcgzb.dll c:\windows\system32\khqaf.dll c:\windows\system32\kormb.dll c:\windows\system32\kqqss.dll c:\windows\system32\krjsz.dat c:\windows\system32\kungg.dll c:\windows\system32\kzncq.dll c:\windows\system32\lafjk.dat c:\windows\system32\lcldw.dll c:\windows\system32\lfels.dll c:\windows\system32\lmobi.dll c:\windows\system32\lpnvr.dat c:\windows\system32\lueit.dll c:\windows\system32\luucj.dll c:\windows\system32\lwktw.dll c:\windows\system32\lylmy.dll c:\windows\system32\mfazp.dll c:\windows\system32\mmzhz.dll c:\windows\system32\mrbqy.dll c:\windows\system32\mrnlh.dll c:\windows\system32\mskdt.dll c:\windows\system32\msqm.exe c:\windows\system32\mukgr.dll c:\windows\system32\myvae.dll c:\windows\system32\naxpt.dll c:\windows\system32\nefid.dat c:\windows\system32\nfypf.dll c:\windows\system32\njcom.dll c:\windows\system32\nkwxr.dll c:\windows\system32\nnilr.dll c:\windows\system32\nqfuc.dll c:\windows\system32\nqsfa.dat c:\windows\system32\nvmwd.dll c:\windows\system32\nztgv.dll c:\windows\system32\nzxap.dll c:\windows\system32\oarew.dll c:\windows\system32\odiak.dat c:\windows\system32\ohran.dll c:\windows\system32\okxtq.dll c:\windows\system32\oluhx.dat c:\windows\system32\omlqa.dll c:\windows\system32\onfze.dll c:\windows\system32\opvqv.dll c:\windows\system32\oqaer.dll c:\windows\system32\ospxv.dll c:\windows\system32\ouwjw.dll c:\windows\system32\oypcc.dll c:\windows\system32\oyran.dll c:\windows\system32\pamfs.dat c:\windows\system32\pcztd.dll c:\windows\system32\peqnu.dat c:\windows\system32\piwip.dat c:\windows\system32\pnstm.dll c:\windows\system32\psakm.dll c:\windows\system32\pters.dll c:\windows\system32\pxoly.dll c:\windows\system32\pymuo.dll c:\windows\system32\qckmc.dll c:\windows\system32\qigji.dll c:\windows\system32\qkgrr.dll c:\windows\system32\qmyjc.dll c:\windows\system32\qpdkw.dll c:\windows\system32\qpezp.dat c:\windows\system32\qukwz.dll c:\windows\system32\quono.dll c:\windows\system32\qvsvt.dll c:\windows\system32\qxgnt.dll c:\windows\system32\qyuwn.dll c:\windows\system32\qzesb.dll c:\windows\system32\rccip.dll c:\windows\system32\rcrlc.dll c:\windows\system32\rforr.dll c:\windows\system32\rgsfz.dll c:\windows\system32\rkjft.dll c:\windows\system32\rlltc.dll c:\windows\system32\rmbet.dll c:\windows\system32\ruzow.dll c:\windows\system32\rwrln.dll c:\windows\system32\sawfx.dll c:\windows\system32\sbdau.dll c:\windows\system32\scsel.dll c:\windows\system32\scunr.dll c:\windows\system32\setup.ini c:\windows\system32\seysk.dll c:\windows\system32\shyzk.dll c:\windows\system32\sigej.dll c:\windows\system32\sivth.dll c:\windows\system32\sjaae.dat c:\windows\system32\sjjnc.dll c:\windows\system32\slpsy.dll c:\windows\system32\spsdj.dat c:\windows\system32\sudlt.dll c:\windows\system32\swjfq.dll c:\windows\system32\sxgcp.dll c:\windows\system32\szgew.dll c:\windows\system32\tdnmm.dll c:\windows\system32\tieed.dll c:\windows\system32\tkcih.dll c:\windows\system32\tposl.dll c:\windows\system32\twmzz.dat c:\windows\system32\txedx.dll c:\windows\system32\uawjd.dll c:\windows\system32\uaykc.dll c:\windows\system32\uctqm.dat c:\windows\system32\ugydc.dll c:\windows\system32\uhogt.dll c:\windows\system32\uhwqa.dll c:\windows\system32\uivpp.dll c:\windows\system32\uktpm.dll c:\windows\system32\unqnb.dll c:\windows\system32\uocuq.dll c:\windows\system32\uqqsb.dll c:\windows\system32\urcvq.dll c:\windows\system32\uryaz.dll c:\windows\system32\uvafl.dll c:\windows\system32\vargx.dll c:\windows\system32\vaufw.dll c:\windows\system32\vbdcz.dll c:\windows\system32\vcbro.dll c:\windows\system32\vgcde.dll c:\windows\system32\vhnte.dll c:\windows\system32\vjeli.dll c:\windows\system32\vlpvp.dll c:\windows\system32\vogbt.dll c:\windows\system32\vpvsu.dll c:\windows\system32\vqlzu.dll c:\windows\system32\vraga.dll c:\windows\system32\vrfve.dll c:\windows\system32\vwxft.dll c:\windows\system32\vxtcp.dll c:\windows\system32\vxuwx.dll c:\windows\system32\vynqp.dll c:\windows\system32\wbdch.dll c:\windows\system32\wbref.dll c:\windows\system32\wdmuo.dll c:\windows\system32\weily.dll c:\windows\system32\wfebo.dll c:\windows\system32\whkaf.dll c:\windows\system32\whsof.dll c:\windows\system32\wklyw.dll c:\windows\system32\wlxhh.dll c:\windows\system32\wmndq.dat c:\windows\system32\wofnt.dat c:\windows\system32\wonrj.dat c:\windows\system32\wvfir.dll c:\windows\system32\wxtko.dll c:\windows\system32\xaqqw.dll c:\windows\system32\xdmqs.dll c:\windows\system32\xgkpa.dll c:\windows\system32\xhpox.dat c:\windows\system32\xicmz.dat c:\windows\system32\xtlqe.dll c:\windows\system32\xvpgn.dll c:\windows\system32\xzwmi.dat c:\windows\system32\yjtqm.dll c:\windows\system32\ylfcm.dll c:\windows\system32\ynyjr.dll c:\windows\system32\yrhjo.dll c:\windows\system32\yxjfk.dll c:\windows\system32\zaguz.dat c:\windows\system32\zbrly.dll c:\windows\system32\zlfkg.dll c:\windows\system32\zltaz.dll c:\windows\system32\zxevl.dll c:\windows\twuss.dat c:\windows\ukqhy.dat c:\windows\uzjcr.dat c:\windows\veimp.dat c:\windows\vnrzr.dat c:\windows\wfhum.dat c:\windows\wrqvi.dat c:\windows\xoevl.dat c:\windows\xoyay.dat c:\windows\ydasc.dat c:\windows\zcfzk.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SYSREST.SYS -------\Service_sysrest.sys ((((((((((((((((((((((( Dateien erstellt von 2009-07-13 bis 2009-08-13 )))))))))))))))))))))))))))))) . 2009-08-13 11:09 . 2008-04-14 08:42 211968 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON SX100 Series\Language\0407.E_DI0EEE.DLL 2009-08-12 13:12 . 2009-08-12 13:12 -------- d-----w- c:\dokumente und einstellungen\grossmann\Anwendungsdaten\Foxit 2009-08-12 13:12 . 2009-08-12 13:12 -------- d-----w- c:\programme\Foxit Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-13 11:59 . 2009-04-06 09:28 117760 ----a-w- c:\dokumente und einstellungen\grossmann\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-08-13 11:56 . 2009-04-06 09:27 -------- d-----w- c:\programme\SUPERAntiSpyware 2009-08-12 08:01 . 2008-09-17 06:41 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-12 08:01 . 2009-04-06 10:38 3942047 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-08-11 06:27 . 2009-04-02 09:40 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-11 05:56 . 2008-03-24 11:43 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-08-03 11:36 . 2008-09-17 06:41 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-03 11:36 . 2008-09-17 06:41 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-21 14:15 . 2008-10-29 10:54 -------- d-----w- c:\programme\Trillian 2009-07-03 16:55 . 2005-04-27 14:41 915456 ----a-w- c:\windows\system32\wininet.dll 2009-07-01 12:04 . 2009-07-01 12:04 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Softland 2009-07-01 12:02 . 2009-07-01 12:02 -------- d-----w- c:\programme\Softland 2009-06-30 12:21 . 2009-06-30 12:01 -------- d-----w- c:\programme\Canon 2009-06-16 14:36 . 1979-12-31 23:00 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 1979-12-31 23:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-03 19:09 . 2003-05-30 07:00 1296896 ----a-w- c:\windows\system32\quartz.dll 2005-06-02 22:11 . 2005-06-02 22:11 11592 --sha-w- c:\windows\fvwjm.dat 2005-07-08 10:49 . 2005-07-08 10:49 3567 --sha-w- c:\windows\jumkl.dat 2005-06-15 02:28 . 2005-06-15 02:28 3567 --sha-w- c:\windows\ojiwm.dat 2005-01-25 09:15 . 2005-01-25 09:15 3547 --sha-w- c:\windows\system32\cdaxs.dat 2005-01-01 15:37 . 2005-01-01 15:37 11592 --sha-w- c:\windows\system32\fdxek.dat 2005-01-23 03:53 . 2005-01-23 03:53 11592 --sha-w- c:\windows\system32\glvut.dat 2007-04-05 10:10 . 2007-04-05 10:06 848 --sha-w- c:\windows\system32\KGyGaAvL.sys 2008-09-12 06:03 . 2008-08-14 14:07 2985504 --sha-w- c:\windows\system32\drivers\fidbox.dat 2008-09-12 06:03 . 2008-08-14 14:07 180256 --sha-w- c:\windows\system32\drivers\fidbox2.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AttuneClientEngine HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CMESys HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpl32ver HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Horny_de HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MemoryMeter HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nscntrl HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-ftsh10 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-gays33 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd102 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd12 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd207 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd224 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd438 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd465 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd520 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen247 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen321 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen98 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen99 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power Scan HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SafeSearch HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMrhccf3j0el6r HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAntispyware2008 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Sophos Message Router"=2 (0x2) "Sophos Agent"=2 (0x2) "sdCoreService"=3 (0x3) "sdAuxService"=3 (0x3) "MDM"=2 (0x2) "Ati HotKey Poller"=2 (0x2) "AntiVirService"=2 (0x2) "AntiVirScheduler"=2 (0x2) "WMPNetworkSvc"=3 (0x3) "usnjsvc"=3 (0x3) "AVP"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [23.03.2009 14:07 9968] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [23.03.2009 14:07 74480] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.04.2009 11:40 108289] R2 CAPI20;Eumex 404PC;c:\windows\system32\drivers\Capi20.sys [09.08.2002 10:51 237872] R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [18.09.2001 16:46 38480] S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [23.03.2009 14:07 7408] S4 FWIEMQ;FWIEMQ;c:\dokume~1\GROSSM~1\LOKALE~1\Temp\FWIEMQ.exe --> c:\dokume~1\GROSSM~1\LOKALE~1\Temp\FWIEMQ.exe [?] S4 PWCUH;PWCUH;c:\dokume~1\GROSSM~1\LOKALE~1\Temp\PWCUH.exe --> c:\dokume~1\GROSSM~1\LOKALE~1\Temp\PWCUH.exe [?] S4 TXVJAP;TXVJAP;c:\dokume~1\GROSSM~1\LOKALE~1\Temp\TXVJAP.exe --> c:\dokume~1\GROSSM~1\LOKALE~1\Temp\TXVJAP.exe [?] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - SASDIFSV [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-sws - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: &Google-Suche IE: &Ins Deutsche übersetzen IE: Im Cache gespeicherte Seite IE: Verweisseiten IE: Ähnliche Seiten TCP: {8DED008E-B5BB-497C-AC89-FD5C0474AD0E} = 194.25.2.129 DPF: Microsoft XML Parser for Java FF - ProfilePath - c:\dokumente und einstellungen\grossmann\Anwendungsdaten\Mozilla\Firefox\Profiles\qerlegu3.Standard-Benutzer\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-13 16:55 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\LPTENUM\KyoceraFS-920\4&14ab428d&0&LPT1.4] @Denied: (C D) (Everyone) "DeviceDesc"="Kyocera FS-920" "LocationInformation"="LPT1.4" "Capabilities"=dword:00000040 "ConfigFlags"=dword:00000000 "HardwareID"=multi:"LPTENUM\\KyoceraFS-9205AA3\00KyoceraFS-9205AA3\00\00" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(600) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\programme\Nikon\NkView\MLCamView.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-13 17:10 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-13 15:10 Vor Suchlauf: 1.668.992.512 Bytes frei Nach Suchlauf: 1.859.770.880 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn 506 --- E O F --- 2009-07-29 11:06 |
Themen zu sysrest.sys (Rootkit.Agent) von MBAM gefunden |
0 bytes, antivir, avg, avgnt.exe, avira, avp, c:\windows\system32\rundll32.exe, combofix, components, desktop, einstellungen, explorer, fehlermeldung, festplatte, firefox, hijack, hijackthis, internet, laufende prozesse, lexware, log, malwarebytes' anti-malware, mozilla, opera, programme, registry, rootkit.agent, rundll, sched.exe, schutz, software, suchlauf, system, temp, windows recovery, windows xp |