Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Versteckte dateien in System32

Versteckte dateien in System32


Log-Analyse und Auswertung: Versteckte dateien in System32

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.08.2009, 16:33   #1
Somerset
 
Versteckte dateien in System32 - Standard

Versteckte dateien in System32


Nabend,

ich wende mich an Euch/Sie in der Hoffnung eine Erklärung für die neuerdings bei Suchläufen gefundenen versteckten Dateien im Ordner System32 meiner Betriebssystemspartition zu bekommen...

Durch SuFu und Google gefundene Beiträge enthielten nicht die gewünschten Dateien und nun mach ich mir Sorgen um Backdoor oder Trojaner.

(Gefunden von Antivir in neuester Version, Logfile hier: )
Code:
ATTFilter
(...)
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\kbiwkmirviqqaq.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4af5135f.qua erstellt ( QUARANTÄNE )
c:\windows\system32\kbiwkmjkyibrrs.dat
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b8767e8.qua erstellt ( QUARANTÄNE )
c:\windows\system32\kbiwkmnkoowwsw.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b818f08.qua erstellt ( QUARANTÄNE )
c:\windows\system32\kbiwkmwuptmxlm.dat
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b83d728.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\kbiwkmvnosdyou.sys
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b8dff48.qua erstellt ( QUARANTÄNE )
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmilrmltql\main
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmilrmltql\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmilrmltql\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmilrmltql\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmilrmltql\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmilrmltql\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '36067' Objekte überprüft, '11' versteckte Objekte wurden gefunden.

(...)
Spybot SD sagt, alles in Ordnung.

Hijackthis sagt:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:31, on 19.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\DOKUME~1\Admin\LOKALE~1\Temp\nos_uninstall_Adobe.exe" /UninstallGet1noarp
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\icq\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\icq\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - D:\xampp\apache\bin\httpd.exe (file missing)
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programme\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6901 bytes

Jenes Programm sagt folgendes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2656
Windows 5.1.2600 Service Pack 2

19.08.2009 17:34:13
mbam-log-2009-08-19 (17-34-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 144488
Laufzeit: 15 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Die Dateien werden bei jedem Suchlauf von Antivir erneut gefunden und jedes mal wieder in Quarantäne kopiert.

Alle beginnen (wie oben ersichtlich) mit "kbiwkm" und enden entweder auf .dll, .dat und neuerdings auch auf .tmp...

Das kann doch nichts Gutes sein?
Für schnelle Hilfe wäre ich sehr dankbar.

Lg

Sven

(PS: Logfiles diverser Programme werden bei Bedarf gern nachgereicht.)
(EDIT: Eventuell verschieben ins Forum für diverse Plagegeister, hab mir aber gedacht, so lang ich nicht weiss, was es ist ist es hier zum Logs überfliegen am Besten aufgehoben..)
Geändert von Somerset (19.08.2009 um 17:03 Uhr)

Alt 19.08.2009, 17:58   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Versteckte dateien in System32 - Standard

Versteckte dateien in System32


Hallo und

Code:
ATTFilter
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Mit diesem Patchlevel machst Du es den Schädlingen noch einfacher. Du solltest immer zeitnah wichtigte Updates wie zB das SP3 und den IE8 installieren, auch wenn Du zum alltäglichen Surfen lieber sowas wie Firefox oder Opera verwenden sollltest, denn die Kernkomponenten des IE sind auch Bestandteil von Windows.

Darum kümmern wir uns aber später nach der Bereinigung (wenn das System noch zu retten und ob es bei Rootkitbefall überhaupt noch sinnvoll ist). Mach bitte einen Durchlauf mit

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________

__________________
Alt 19.08.2009, 18:33   #3
Somerset
 
Versteckte dateien in System32 - Standard

Versteckte dateien in System32


Code:
ATTFilter
ComboFix 09-08-18.04 - Admin 19.08.2009 19:18.1.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.2047.1667 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\kbiwkmvnosdyou.sys
c:\windows\system32\kbiwkmirviqqaq.dll
c:\windows\system32\kbiwkmjkyibrrs.dat
c:\windows\system32\kbiwkmnkoowwsw.dll
c:\windows\system32\kbiwkmwuptmxlm.dat

Infizierte Kopie von c:\windows\system32\mspmsnsv.dll wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\dllcache\mspmsnsv.dll wurde wiederhergestellt 

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_kbiwkmilrmltql
-------\Legacy_kbiwkmilrmltql


(((((((((((((((((((((((   Dateien erstellt von 2009-07-19 bis 2009-08-19  ))))))))))))))))))))))))))))))
.

2009-08-19 15:16 . 2009-08-19 15:16	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2009-08-19 15:15 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-19 15:15 . 2009-08-19 15:15	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-19 15:15 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-19 15:07 . 2004-08-04 12:00	186880	----a-w-	C:\scecli.dll
2009-08-19 14:11 . 2009-08-19 14:12	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2009-08-19 14:11 . 2009-08-19 14:12	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2009-08-19 13:42 . 2009-08-19 13:42	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Tages
2009-08-19 13:35 . 2009-08-19 13:35	--------	d-----w-	c:\windows\Logs
2009-08-19 13:25 . 2009-08-19 13:25	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\DAEMON Tools Lite
2009-08-19 13:16 . 2009-08-19 13:16	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-08-19 13:16 . 2009-08-19 13:30	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\DAEMON Tools Lite
2009-08-19 11:45 . 2004-08-04 12:00	25600	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2009-08-19 11:40 . 2009-08-19 11:40	--------	d-----w-	c:\programme\Windows Media Connect 2
2009-08-19 11:39 . 2009-08-19 11:39	--------	d-----w-	c:\windows\system32\drivers\UMDF
2009-08-19 11:39 . 2009-08-19 11:39	--------	d-----w-	c:\windows\system32\LogFiles
2009-08-13 16:35 . 2009-08-13 16:35	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Webcammax
2009-08-13 16:35 . 2009-07-20 01:13	1052928	----a-w-	c:\windows\system32\drivers\CAMTHWDM.sys
2009-08-12 12:45 . 2004-08-04 12:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2009-08-12 12:43 . 2009-08-12 12:43	--------	d-----w-	c:\windows\ServicePackFiles
2009-08-08 10:43 . 2009-08-08 10:43	--------	d-----w-	c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
2009-07-30 17:51 . 2009-07-30 17:51	--------	d-----w-	c:\dokumente und einstellungen\Mama\Anwendungsdaten\DivX

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-19 17:13 . 2008-10-27 19:31	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\NOS
2009-08-19 14:00 . 2008-10-24 17:29	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-19 13:36 . 2009-08-19 13:36	281760	----a-w-	c:\windows\system32\drivers\atksgt.sys
2009-08-19 13:36 . 2009-08-19 13:36	25888	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2009-08-15 21:26 . 2009-05-11 14:58	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Skype
2009-08-15 14:04 . 2009-05-11 15:15	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\skypePM
2009-08-08 01:32 . 2008-10-27 19:31	--------	d-----w-	c:\programme\NOS
2009-08-05 17:50 . 2009-05-17 14:19	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-05 09:05 . 2004-08-04 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-17 18:56 . 2004-08-04 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-04 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-12 20:27 . 2008-10-28 17:42	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\teamspeak2
2009-06-29 15:55 . 2004-08-04 12:00	827392	----a-w-	c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2004-08-04 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2004-08-04 12:00	17408	------w-	c:\windows\system32\corpol.dll
2009-06-16 14:53 . 2004-08-04 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:53 . 2004-08-04 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-15 11:32 . 2004-08-04 12:00	78848	----a-w-	c:\windows\system32\telnet.exe
2009-06-10 14:22 . 2004-08-04 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2004-08-04 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-05 17:38 . 2009-06-05 17:38	25280	----a-w-	c:\windows\system32\drivers\hamachi.sys
2009-06-05 07:42 . 2008-10-24 17:17	655872	----a-w-	c:\windows\system32\mstscax.dll
2009-06-03 19:26 . 2004-08-04 12:00	1296384	----a-w-	c:\windows\system32\quartz.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-11-19 1970176]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"Launch LGDCore"="c:\programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 1122304]
"Launch LCDMon"="c:\programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 497152]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-07-03 16876032]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-10-07 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Curse\\CurseClient.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\Admin\\temp\\TeamViewer3\\TeamViewer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Ventrilo\\Ventrilo.exe"=
"d:\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\Dokumente und Einstellungen\\Admin\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\fi_herox\\counter-strike\\hl.exe"=
"d:\\World of Warcraft\\Launcher.exe"=
"d:\\Programme\\icq\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.05.2009 16:19 108289]
S2 Apache2.2;Apache2.2;"d:\xampp\apache\bin\httpd.exe" -k runservice --> d:\xampp\apache\bin\httpd.exe [?]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe --> c:\programme\NOS\bin\getPlus_HelperSvc.exe [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - d:\progra~1\Office\OFFICE11\EXCEL.EXE/3000
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - c:\dokume~1\Admin\ANWEND~1\Mozilla\Firefox\Profiles\9a9wo94s.default\
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-19 19:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2224)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
c:\programme\Logitech\G-series Software\Applets\LCDMedia.exe
c:\programme\Logitech\G-series Software\Applets\LCDClock.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-19 19:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-19 17:25

Vor Suchlauf: 9 Verzeichnis(se), 36.175.323.136 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 36.196.036.608 Bytes frei

186	--- E O F ---	2009-08-19 16:24

Vielen Dank erstmal!
Für mich siehts aus, als wären die Schädlinge beseitigt, Antivir findet auch nichts mehr.
Muss ich noch neu aufsetzen oder hat sich das erledigt damit?


Nochmals Danke und lieben Gruß

Sven
__________________
Geändert von Somerset (19.08.2009 um 19:22 Uhr)

Alt 19.08.2009, 19:29   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Versteckte dateien in System32 - Blinzeln

Versteckte dateien in System32


Ein RSIT-Logfile wäre nicht schlecht. Findest Du in diesem Artikel, unter 2.c)
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.08.2009, 19:42   #5
Somerset
 
Versteckte dateien in System32 - Standard

Versteckte dateien in System32


Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by Admin at 2009-08-19 20:36:32
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 35 GB (69%) free of 50 GB
Total RAM: 2047 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:39, on 19.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Desktop\RSIT.exe
D:\Programme\Trend Micro\HijackThis\Admin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\icq\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\icq\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - D:\xampp\apache\bin\httpd.exe (file missing)
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programme\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6368 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-07-03 16876032]
"JMB36X IDE Setup"=C:\WINDOWS\RaidTool\xInsIDE.exe [2007-03-20 36864]
"36X Raid Configurer"=C:\WINDOWS\system32\xRaidSetup.exe [2007-11-19 1970176]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-10-07 13574144]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-10-07 86016]
"Launch LGDCore"=C:\Programme\Logitech\G-series Software\LGDCore.exe [2006-03-06 1122304]
"Launch LCDMon"=C:\Programme\Logitech\G-series Software\LCDMon.exe [2006-03-06 497152]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"snpstd3"=C:\WINDOWS\vsnpstd3.exe [2006-09-19 827392]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe [2006-11-03 204288]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
D:\Grenzwertig\DAEMON Tools Lite\daemon.exe -autorun []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2009-04-21 24264488]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2007-06-13 528384]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
C:\Programme\Valve\Steam\Steam.exe [2009-06-17 1217784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Programme\Curse\CurseClient.exe"="D:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Dokumente und Einstellungen\Admin\temp\TeamViewer3\TeamViewer.exe"="C:\Dokumente und Einstellungen\Admin\temp\TeamViewer3\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\Programme\Ventrilo\Ventrilo.exe"="C:\Programme\Ventrilo\Ventrilo.exe:*:Enabled:Ventrilo.exe"
"D:\World of Warcraft\BackgroundDownloader.exe"="D:\World of Warcraft\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\Dokumente und Einstellungen\Admin\temp\TeamViewer\Version4\TeamViewer.exe"="C:\Dokumente und Einstellungen\Admin\temp\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"C:\Programme\Valve\Steam\SteamApps\fi_herox\counter-strike\hl.exe"="C:\Programme\Valve\Steam\SteamApps\fi_herox\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"D:\World of Warcraft\Launcher.exe"="D:\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher"
"D:\Programme\icq\ICQ6.5\ICQ.exe"="D:\Programme\icq\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\WINDOWS\system32\ftp.exe"="C:\WINDOWS\system32\ftp.exe:*:Enabled:Programm zur Dateiübertragung"
"C:\WINDOWS\system32\dpnsvr.exe"="C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-08-19 20:36:32 ----D---- C:\rsit
2009-08-19 20:05:47 ----SHD---- C:\RECYCLER
2009-08-19 20:05:21 ----A---- C:\ComboFix.txt
2009-08-19 19:59:55 ----A---- C:\Boot.bak
2009-08-19 19:59:52 ----RASHD---- C:\cmdcons
2009-08-19 19:59:25 ----SD---- C:\ComboFix
2009-08-19 19:14:18 ----A---- C:\WINDOWS\zip.exe
2009-08-19 19:14:18 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-08-19 19:14:18 ----A---- C:\WINDOWS\SWSC.exe
2009-08-19 19:14:18 ----A---- C:\WINDOWS\SWREG.exe
2009-08-19 19:14:18 ----A---- C:\WINDOWS\sed.exe
2009-08-19 19:14:18 ----A---- C:\WINDOWS\PEV.exe
2009-08-19 19:14:18 ----A---- C:\WINDOWS\NIRCMD.exe
2009-08-19 19:14:18 ----A---- C:\WINDOWS\grep.exe
2009-08-19 19:14:03 ----D---- C:\WINDOWS\ERDNT
2009-08-19 19:13:18 ----A---- C:\WINDOWS\LCDMedia.INI
2009-08-19 19:13:17 ----D---- C:\Qoobox
2009-08-19 17:16:00 ----D---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2009-08-19 17:15:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-19 17:07:31 ----A---- C:\scecli.dll
2009-08-19 16:11:41 ----D---- C:\Programme\Spybot - Search & Destroy
2009-08-19 16:11:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-19 15:42:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tages
2009-08-19 15:36:41 ----A---- C:\WINDOWS\system32\D3DX9_41.dll
2009-08-19 15:36:41 ----A---- C:\WINDOWS\system32\d3dx10_41.dll
2009-08-19 15:36:41 ----A---- C:\WINDOWS\system32\D3DCompiler_41.dll
2009-08-19 15:36:40 ----A---- C:\WINDOWS\system32\XAudio2_4.dll
2009-08-19 15:36:40 ----A---- C:\WINDOWS\system32\XAPOFX1_3.dll
2009-08-19 15:36:40 ----A---- C:\WINDOWS\system32\xactengine3_4.dll
2009-08-19 15:36:39 ----A---- C:\WINDOWS\system32\X3DAudio1_6.dll
2009-08-19 15:36:39 ----A---- C:\WINDOWS\system32\d3dx10_40.dll
2009-08-19 15:36:39 ----A---- C:\WINDOWS\system32\D3DCompiler_40.dll
2009-08-19 15:36:38 ----A---- C:\WINDOWS\system32\D3DX9_40.dll
2009-08-19 15:36:37 ----A---- C:\WINDOWS\system32\XAudio2_3.dll
2009-08-19 15:36:37 ----A---- C:\WINDOWS\system32\XAPOFX1_2.dll
2009-08-19 15:36:37 ----A---- C:\WINDOWS\system32\xactengine3_3.dll
2009-08-19 15:36:37 ----A---- C:\WINDOWS\system32\X3DAudio1_5.dll
2009-08-19 15:36:36 ----A---- C:\WINDOWS\system32\XAudio2_2.dll
2009-08-19 15:36:36 ----A---- C:\WINDOWS\system32\XAPOFX1_1.dll
2009-08-19 15:36:35 ----A---- C:\WINDOWS\system32\xactengine3_2.dll
2009-08-19 15:36:35 ----A---- C:\WINDOWS\system32\d3dx10_39.dll
2009-08-19 15:36:35 ----A---- C:\WINDOWS\system32\D3DCompiler_39.dll
2009-08-19 15:36:34 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-08-19 15:36:33 ----A---- C:\WINDOWS\system32\XAudio2_1.dll
2009-08-19 15:36:33 ----A---- C:\WINDOWS\system32\XAPOFX1_0.dll
2009-08-19 15:36:33 ----A---- C:\WINDOWS\system32\xactengine3_1.dll
2009-08-19 15:36:32 ----A---- C:\WINDOWS\system32\X3DAudio1_4.dll
2009-08-19 15:36:32 ----A---- C:\WINDOWS\system32\D3DX9_38.dll
2009-08-19 15:36:32 ----A---- C:\WINDOWS\system32\d3dx10_38.dll
2009-08-19 15:36:32 ----A---- C:\WINDOWS\system32\D3DCompiler_38.dll
2009-08-19 15:36:31 ----A---- C:\WINDOWS\system32\XAudio2_0.dll
2009-08-19 15:36:31 ----A---- C:\WINDOWS\system32\xactengine3_0.dll
2009-08-19 15:36:31 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll
2009-08-19 15:36:30 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2009-08-19 15:36:30 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2009-08-19 15:36:30 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2009-08-19 15:36:30 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2009-08-19 15:36:29 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2009-08-19 15:36:29 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2009-08-19 15:36:29 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2009-08-19 15:36:28 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2009-08-19 15:36:28 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2009-08-19 15:36:28 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2009-08-19 15:36:28 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2009-08-19 15:36:27 ----A---- C:\WINDOWS\system32\xactengine2_8.dll
2009-08-19 15:36:27 ----A---- C:\WINDOWS\system32\X3DAudio1_2.dll
2009-08-19 15:36:27 ----A---- C:\WINDOWS\system32\d3dx9_34.dll
2009-08-19 15:36:27 ----A---- C:\WINDOWS\system32\d3dx10_34.dll
2009-08-19 15:36:27 ----A---- C:\WINDOWS\system32\D3DCompiler_34.dll
2009-08-19 15:36:26 ----A---- C:\WINDOWS\system32\xinput1_3.dll
2009-08-19 15:36:26 ----A---- C:\WINDOWS\system32\xactengine2_7.dll
2009-08-19 15:36:25 ----A---- C:\WINDOWS\system32\d3dx10_33.dll
2009-08-19 15:36:25 ----A---- C:\WINDOWS\system32\D3DCompiler_33.dll
2009-08-19 15:36:23 ----A---- C:\WINDOWS\system32\xactengine2_6.dll
2009-08-19 15:36:23 ----A---- C:\WINDOWS\system32\xactengine2_5.dll
2009-08-19 15:36:23 ----A---- C:\WINDOWS\system32\d3dx9_33.dll
2009-08-19 15:36:23 ----A---- C:\WINDOWS\system32\d3dx9_32.dll
2009-08-19 15:36:22 ----A---- C:\WINDOWS\system32\xinput1_2.dll
2009-08-19 15:36:22 ----A---- C:\WINDOWS\system32\xactengine2_4.dll
2009-08-19 15:36:22 ----A---- C:\WINDOWS\system32\xactengine2_3.dll
2009-08-19 15:36:22 ----A---- C:\WINDOWS\system32\xactengine2_2.dll
2009-08-19 15:36:22 ----A---- C:\WINDOWS\system32\x3daudio1_1.dll
2009-08-19 15:36:22 ----A---- C:\WINDOWS\system32\d3dx9_31.dll
2009-08-19 15:36:21 ----A---- C:\WINDOWS\system32\xinput1_1.dll
2009-08-19 15:36:21 ----A---- C:\WINDOWS\system32\xactengine2_1.dll
2009-08-19 15:36:16 ----A---- C:\WINDOWS\system32\xactengine2_0.dll
2009-08-19 15:36:16 ----A---- C:\WINDOWS\system32\x3daudio1_0.dll
2009-08-19 15:36:15 ----A---- C:\WINDOWS\system32\xinput9_1_0.dll
2009-08-19 15:35:45 ----D---- C:\WINDOWS\Logs
2009-08-19 15:26:07 ----D---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\WinRAR
2009-08-19 15:25:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-08-19 15:16:32 ----D---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\DAEMON Tools Lite
2009-08-19 13:40:58 ----HDC---- C:\WINDOWS\$NtUninstallKB926239$
2009-08-19 13:40:30 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-08-19 13:40:25 ----HDC---- C:\WINDOWS\$NtUninstallMSCompPackV1$
2009-08-19 13:40:17 ----D---- C:\Programme\Windows Media Connect 2
2009-08-19 13:40:08 ----HDC---- C:\WINDOWS\$NtUninstallwmp11$
2009-08-19 13:39:30 ----HDC---- C:\WINDOWS\$NtUninstallWMFDist11$
2009-08-19 13:39:04 ----D---- C:\WINDOWS\system32\LogFiles
2009-08-19 13:38:58 ----HDC---- C:\WINDOWS\$NtUninstallWudf01000$
2009-08-19 13:38:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2009-08-13 18:35:57 ----D---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Webcammax
2009-08-12 14:45:02 ----A---- C:\WINDOWS\system32\wmpns.dll
2009-08-12 14:43:50 ----D---- C:\WINDOWS\ServicePackFiles

======List of files/folders modified in the last 1 months======

2009-08-19 20:35:33 ----D---- C:\Programme\Mozilla Firefox
2009-08-19 20:14:20 ----D---- C:\WINDOWS\Temp
2009-08-19 20:12:54 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-19 20:11:36 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-08-19 20:05:23 ----D---- C:\WINDOWS\system32\drivers
2009-08-19 20:05:23 ----D---- C:\WINDOWS\system32
2009-08-19 20:03:22 ----D---- C:\WINDOWS
2009-08-19 20:03:22 ----A---- C:\WINDOWS\system.ini
2009-08-19 20:01:06 ----D---- C:\WINDOWS\AppPatch
2009-08-19 20:01:04 ----D---- C:\Programme\Gemeinsame Dateien
2009-08-19 19:59:55 ----RASH---- C:\boot.ini
2009-08-19 19:28:16 ----D---- C:\WINDOWS\Debug
2009-08-19 19:24:35 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-19 19:17:59 ----D---- C:\WINDOWS\system32\config
2009-08-19 19:13:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2009-08-19 18:32:38 ----RD---- C:\Programme
2009-08-19 18:24:47 ----HD---- C:\WINDOWS\inf
2009-08-19 18:24:46 ----D---- C:\WINDOWS\system32\CatRoot
2009-08-19 16:00:26 ----HD---- C:\Programme\InstallShield Installation Information
2009-08-19 16:00:25 ----SHD---- C:\WINDOWS\Installer
2009-08-19 15:59:13 ----D---- C:\WINDOWS\system32\DirectX
2009-08-19 15:36:17 ----D---- C:\WINDOWS\Microsoft.NET
2009-08-19 15:25:27 ----A---- C:\WINDOWS\win.ini
2009-08-19 13:40:17 ----D---- C:\Programme\Windows Media Player
2009-08-19 13:40:14 ----D---- C:\WINDOWS\Help
2009-08-19 12:14:27 ----RSD---- C:\WINDOWS\Fonts
2009-08-19 12:12:50 ----D---- C:\Programme\Outlook Express
2009-08-19 12:11:42 ----A---- C:\WINDOWS\SIERRA.INI
2009-08-19 12:10:01 ----D---- C:\WINDOWS\Prefetch
2009-08-15 23:26:17 ----D---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
2009-08-15 22:17:59 ----A---- C:\WINDOWS\NeroDigital.ini
2009-08-15 16:04:23 ----D---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\skypePM
2009-08-12 14:45:04 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-08 03:32:36 ----D---- C:\Programme\NOS
2009-08-08 03:32:34 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-08-05 11:05:18 ----A---- C:\WINDOWS\system32\mswebdvd.dll
2009-08-02 16:20:44 ----A---- C:\WINDOWS\vbaddin.ini
2009-07-30 02:49:14 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-29 11:06:34 ----D---- C:\WINDOWS\system32\de-de
2009-07-29 11:06:34 ----D---- C:\Programme\Internet Explorer

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
erster post


Alt 19.08.2009, 19:43   #6
Somerset
 
Versteckte dateien in System32 - Standard

Versteckte dateien in System32


Code:
ATTFilter
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2009-08-19 281760]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2009-08-19 25888]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2004-08-04 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-07-03 4745216]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-10-07 6133856]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-01-03 105856]
R3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-04 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 GMSIPCI;GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS []
S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-06-05 25280]
S3 MSICPL;MSICPL; \??\E:\install4\MSICPL.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 NTACCESS;NTACCESS; \??\E:\NTACCESS.sys []
S3 s125bus;Sony Ericsson Device 125 driver (WDM); C:\WINDOWS\system32\DRIVERS\s125bus.sys [2007-04-24 83336]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s125mdfl.sys [2007-04-24 15112]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s125mdm.sys [2007-04-24 108680]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s125mgmt.sys [2007-04-24 100488]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s125obex.sys [2007-04-24 98696]
S3 SetupNTGLM7X;SetupNTGLM7X; \??\E:\NTGLM7X.sys []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 SNPSTD3;USB PC Camera (SNPSTD3); C:\WINDOWS\system32\DRIVERS\snpstd3.sys [2007-03-27 10252544]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-04 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 wceusbsh;Windows CE USB Serial Host Driver; C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2006-11-06 28672]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 EPSON_PM_RPCV4_01;EPSON V3 Service4(01); C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE [2007-01-11 113664]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-20 322120]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-10-07 163908]
R2 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S2 Apache2.2;Apache2.2; D:\xampp\apache\bin\httpd.exe -k runservice []
S2 mysql;mysql; D:\xampp\mysql\bin\mysqld.exe --defaults-file=D:\xampp\mysql\bin\my.cnf mysql []
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 getPlus(R) Helper;getPlus(R) Helper; C:\Programme\NOS\bin\getPlus_HelperSvc.exe []
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]

-----------------EOF-----------------
Bittesehr..

Alt 19.08.2009, 19:57   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Versteckte dateien in System32 - Standard

Versteckte dateien in System32


Sehr gut, Du hast gleich in Codetags umschlossen gepostet!

Das sieht soweit ganz gut aus, hier müsste ich aber nochmal nachhaken:

Code:
ATTFilter
S3 NTACCESS;NTACCESS; \??\E:\NTACCESS.sys []
S3 GMSIPCI;GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS []
S3 MSICPL;MSICPL; \??\E:\install4\MSICPL.sys
S3 SetupNTGLM7X;SetupNTGLM7X; \??\E:\NTGLM7X.sys []
1.) Was ist Laufwerk E:\bei Dir?
2.) Hast Du ein MSI-Mainboard?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.08.2009, 19:59   #8
Somerset
 
Versteckte dateien in System32 - Standard

Versteckte dateien in System32


Laufwerk E: ist mein DVD Brenner und Ja, ich habe ein MSI Board.

^^

lg

Alt 19.08.2009, 20:50   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Versteckte dateien in System32 - Blinzeln

Versteckte dateien in System32


Dann isses okay. Andere auffällige Einträge hab ich da auch nicht mehr gesehen, dennoch ist bei Rotkitbefall Vorsicht geboten und wenn Du auf Nummer sicher gehen willst => relevante Daten, formatieren und Neuaufsetzen!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.08.2009, 20:56   #10
Somerset
 
Versteckte dateien in System32 - Standard

Versteckte dateien in System32


Soweit hab ich auch schon gedacht..
Muss ich mal schauen, wenn ich mal zuviel Zeit hab, setz ich die Kiste mal neu auf. Hast Du da eventuell noch nen Tipp für mich? Wollte gern ne Bootfähige CD erstellen, möglichst schon mit Windows 7 inklusive Treibern und nem bestimmten Softwaresatz. Gibts da ne Software die von Vorteil wäre?

Ansonsten erstmal vielen vielen Dank, hast mir sehr geholfen!

Schönen Abend

Sven

Alt 19.08.2009, 21:01   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Versteckte dateien in System32 - Icon32

Versteckte dateien in System32


Hallo Sven,

Jetzt schon Windows7? Hast Du denn ein Installationsmedium dafür bzw. kannst es aus einer ISO brennen?

Ich würde mit Win7 noch warten bis es ein wenig "abgehangen" ist und die Kinderkrankheiten, die sich am Anfang bemerkbar machen, ausgemerzt sind. Vista ist doch seit dem SP2 ordentlich gereift oder nicht?!

Um individuelle Setup-CDs zu erstellen gibt es für Windows XP das Tool nLite und für Vista vLite. Ob das mit Win7 kompatibel ist, weiß ich leider nicht...
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Versteckte dateien in System32
adobe, antivir, antivir guard, avira, backdoor, bho, desktop, einstellungen, excel, explorer, firefox, google, hkus\s-1-5-18, internet, internet explorer, launch, logfile, malwarebytes' anti-malware, mozilla, nvidia, plug-in, programme, registrierungsschlüssel, rundll, schnelle hilfe, security.hijack, software, suchlauf, system, temp, userinit.exe, versteckte objekte, windows, windows xp


« könnte sich ma jemand mein logfile anschaun???? | Brauche Dringend Hilfe !! »


Ähnliche Themen: Versteckte dateien in System32


  1. Versteckte Dateien anzeigen nicht möglich.
    Alles rund um Windows - 08.07.2014 (12)
  2. Versteckte Dateien.
    Alles rund um Windows - 13.12.2012 (5)
  3. Avira versteckte Dateien und Warnungen gefährlich?
    Log-Analyse und Auswertung - 07.11.2012 (19)
  4. [müll] 4 versteckte Dateien
    Mülltonne - 07.02.2012 (0)
  5. System hat immer mindestens 5% CPU - Avira meldet versteckte Dateien
    Plagegeister aller Art und deren Bekämpfung - 23.01.2012 (1)
  6. [doppelt] Schwarzer Bildschirm, versteckte Dateien
    Mülltonne - 07.11.2011 (1)
  7. AVIRA 2010 25 versteckte Dateien gefunden
    Antiviren-, Firewall- und andere Schutzprogramme - 15.04.2010 (21)
  8. Kann versteckte Dateien nicht mehr anzeigen!
    Alles rund um Windows - 27.07.2009 (3)
  9. versteckte dateien lassen sich nicht sehen
    Log-Analyse und Auswertung - 30.06.2009 (0)
  10. Avira meldet versteckte Dateien in c:\windows\system32\twain32
    Plagegeister aller Art und deren Bekämpfung - 28.02.2009 (18)
  11. kann versteckte Dateien nichtmehr anzeigen ...
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (2)
  12. Versteckte Dateien-System32 (Antivir)
    Log-Analyse und Auswertung - 06.01.2009 (24)
  13. EINIGE versteckte Dateien werden nicht gezeigt
    Mülltonne - 23.09.2008 (0)
  14. Löschbare versteckte Dateien löschbar, aber nicht empfehlenswert?!
    Mülltonne - 22.07.2008 (0)
  15. Avira findet 466 versteckte Dateien, Viren???
    Plagegeister aller Art und deren Bekämpfung - 08.03.2008 (4)
  16. Trojaner Und Versteckte Dateien Entdeckt! HILFE
    Plagegeister aller Art und deren Bekämpfung - 08.09.2007 (1)
  17. internat.exe und versteckte Dateien
    Log-Analyse und Auswertung - 13.02.2005 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Versteckte dateien in System32 - Nabend, ich wende mich an Euch/Sie in der Hoffnung eine Erklärung für die neuerdings bei Suchläufen gefundenen versteckten Dateien im Ordner System32 meiner Betriebssystemspartition zu bekommen... Durch SuFu und Google - Versteckte dateien in System32...
Archiv
Du betrachtest: Versteckte dateien in System32 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131