| |
| |||||||
Log-Analyse und Auswertung: Internetzugang Missbruacht durch Virus, spam und FehlermeldungenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.12.2009, 15:08
| #1 |
 |  Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Guten Tag liebe "Trojaner", bitte helft mir doch wenn ihr könnt. Ich habe einen Virus auf meinem Pc der wahrscheinlich durch einen Download auf diesen gelangt ist. Wenn ich den Pc starte erscheinen verschiedene Fehlermeldungen: "C:\Dokumente" konnte nicht gefunden werden.... "und" " " " " "Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe" konnte nicht gefunden werden... Die in der Registrierung angegebene Anwendung "C:\Dokumente"/"und"/"Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe" konnte nicht geladen oder gestartet werden.Stellen sie sicher dass diese Datei existiert. Und dann noch: ihaupd32.exe hat ein Problem festgestellt und muss beendet werden. Des weiteren kann ich den Computer nicht mehr in den Ruhezustand versetzen. Diese Email habe ich heute von meinem Internetanbieter 1&1 erhalten: Hinweis: Ihre Kundennummer und Ihr Name zeigen Ihnen, dass diese Nachricht von 1&1 verschickt wurde. Sehr geehrte/r Herr ......., wir haben Hinweise erhalten, dass über Ihren 1&1 Internetzugang Spam verbreitet wird. Anhand dieser Hinweise konnten wir feststellen, dass Ihr Computer sehr wahrscheinlich mit einem Virus infiziert ist. Dadurch ist er Teil eines sogenannten Botnetzes und kann von Hackern weltweit missbraucht werden. Ohne dass Sie selbst es merken, dient Ihr Rechner dazu, Spam zu verbreiten, Angriffe auf andere Rechner zu koordinieren und auszuführen. Auch könnten Ihre persönlichen Daten auf Ihrem Computer ausspioniert werden. Weitere Informationen finden Sie unter http://de.wikipedia.org/wiki/Botnetz. Folgende E-Mail ist von Ihrem Anschluss aus versendet worden: Absenderadresse: "Chase bank" <mailsupport.id4744278390ib@chase.com> Betreff-Zeile: Chase Bank: account security measures! Datum: 2009-12-02 15:21:37 Um die Sicherheit Ihres Internetzuganges und Ihrer persönlichen Daten wiederherzustellen, gehen Sie bitte wie folgt vor: 1. W-LAN prüfen: Wenn Sie W-LAN nutzen, prüfen Sie, ob Ihr Zugang geschützt ist und auch tatsächlich nur von berechtigten Personen genutzt wird. 2. Virus löschen und PC schützen: Um den Virus von Ihrem Computer zu entfernen und in Zukunft vor einer Infektion geschützt zu sein, empfehlen wir Ihnen die professionelle Anti-Viren-Software Norton 360 oder Norton Internet Security. Sie finden sie in Ihrem 1&1 Control Center. 3. Zugangsdaten ändern: Nachdem Sie den Virus gelöscht haben, ändern Sie zur Sicherheit alle Ihre Passwörter und Zugangsdaten zu Online-Accounts. Möglicherweise sind diese vom Virus ausspioniert worden. Denken Sie zum Beispiel an die Passwörter zu: - Ihrem 1&1 Control-Center (Service-Passwort) - Ihrem eBay-Mitglieds-Konto - Ihrem WEB.DE oder GMX E-Mail-Postfach - Ihrem PayPal-Konto - Ihrem Online-Banking-Account Sollte das Problem fortbestehen und Ihr Internetanschluss weiterhin Spam versenden, werden wir Sie hierüber informieren. Für Ihr Mitwirken danken wir Ihnen schon jetzt. Sollten Sie Fragen haben, antworten Sie auf diese E-Mail und belassen Sie bitte unsere Referenz in Ihrer Nachricht. Wir freuen uns darauf, Ihnen weiterhin eine sichere Dienstleistung zu bieten. Mit freundlichen Grüßen, Ihr Abuse Team -- Abuse Abteilung 1&1 Internet AG Elgendorfer Str. 57, 56410 Montabaur Amtsgericht Montabaur HRB 6484 · Vorstand: Henning Ahlert, Ralph Dommermuth, Matthias Ehrlich, Thomas Gottschlich, Robert Hoffmann, Markus Huhn, Hans-Henning Kettler, Dr. Oliver Mauss, Jan Oetjen · Aufsichtsratsvorsitzender: Michael Scheeren Protokoll Hijack this: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:04:19, on 04.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\dokumente und einstellungen\simon\lokale einstellungen\anwendungsdaten\vdettcq.exe C:\Programme\LG Soft India\forteManager\bin\Monitor.exe C:\Programme\Paltalk Messenger\paltalk.exe C:\Programme\Trillian\trillian.exe C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre6\bin\jucheck.exe C:\PROGRA~1\FREEDO~1\FDM.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schnellsucher.com/?t=Q0908251707&s=h R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll F3 - REG:win.ini: run="C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe" O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Trellian BHO Impl - {24180B00-2EB6-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\Toolbar\toolbar.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: Trellian &Toolbar - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\Toolbar\toolbar.dll O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [vdettcq] "c:\dokumente und einstellungen\simon\lokale einstellungen\anwendungsdaten\vdettcq.exe" vdettcq O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: scandisk.dll (User 'SYSTEM') O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: scandisk.dll (User 'Default user') O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user') O4 - Startup: ihaupd32.exe O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Startup: scandisk.dll O4 - Startup: scandisk.lnk = ? O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Startup: updxsp32.exe O4 - Global Startup: forteManager.lnk = ? O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1236511992203 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: xxop81 - C:\WINDOWS\SYSTEM32\xxop81.dll O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe -- End of file - 8902 bytes Ich hoffe ihr könnt mir weiterhelfen. Da ich viele wichtige Daten auf dem Pc habe und diese zurzeit überhaupt nicht geordnet sind würde ich es am liebsten vermeiden ein neues BS draufzuspielen oder Den Pc platt zu machen. Vielen Dank schonmal im vorraus. MfG, Simon |
|
04.12.2009, 15:22
| #2 |
  | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi,
__________________da ist einiges drauf, bitte wie folgt vorgehen; Tools downloaden, MAM installieren und updaten, dann offline gehen, das folgende abarbeiten, dann wieder online gehen und logs posten: Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Falls sich die Tools nicht installieren lassen, bitte bereits im Downloaddialog umbenennen, z.B. auf test1.exe etc... chris für mich: O4 - HKCU\..\Run: [vdettcq] "c:\dokumente und einstellungen\simon\lokale einstellungen\anwendungsdaten\vdettcq.exe" vdettcq O4 - S-1-5-18 Startup: scandisk.dll (User 'SYSTEM') O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: scandisk.dll (User 'Default user') O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user') O4 - Startup: ihaupd32.exe O4 - Startup: updxsp32.exe O20 - Winlogon Notify: xxop81 - C:\WINDOWS\SYSTEM32\xxop81.dll
__________________ |
|
04.12.2009, 19:20
| #3 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen MAM Protokoll:
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3292
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
04.12.2009 18:54:54
mbam-log-2009-12-04 (18-54-54).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 349429
Laufzeit: 2 hour(s), 29 minute(s), 54 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 50
Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\GodLib (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vdettcq (Trojan.Agent.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run (Trojan.Agent) -> Data: c:\dokumente und einstellungen\simon\anwendungsdaten\adobe\manager.exe -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\dokumente und einstellungen\Simon\lokale einstellungen\anwendungsdaten\vdettcq.exe (Trojan.Agent.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> Delete on reboot.
C:\rnkvgt.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\thgnclsp.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\ntuser.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\rundll32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\u5el7.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\j72a986.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB4D.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB61.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\xum97.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\005.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\171.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\p6i8ot.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\mspcmnaao[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\tmcerfsg[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\tmcerfsg[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\wpzzanosop[1].htm (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\eghqa[1].htm (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\mspcmnaao[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\eghqa[1].htm (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\loaderadv563[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\wpzzanosop[1].htm (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[2].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\Xms[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\ihaupd32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Super Fast Shutdown\shutdown.exe (HackTool.Shutdown) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-9408339212-7261285265-491933822-1687\wnzip32.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011771.exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011774.exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\WINDOWS\ccdrive32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ir6d8bwwy.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\av_md.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\i9q4v3n.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\calc.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\av_md.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\ntuser.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\~TMB5C.tmp (Trojan.Inject) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.lnk (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\habnf88jkefh87ifiks.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\pskfo83wijf89uwuhal8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
RSIT: Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-12-04 19:13:35
======Uninstall list======
-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE
-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->"C:\Programme\7-Zip\Uninstall.exe"
Acoustica Effects Pack-->C:\PROGRA~1\ACOUST~2\UNWISE.EXE C:\PROGRA~1\ACOUST~2\INSTALL.LOG
Acoustica Mixcraft 4.1-->C:\PROGRA~1\ACOUST~1\Unwise.exe
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
ALL168205 Utility-->MsiExec.exe /I{964DCC28-2FE6-4C9F-903E-D4E76BC19762}
AnalogX Vocal Remover-->C:\Programme\AnalogX\VocalRemover\vremu.exe
Antares Auto-Tune Evo VST-->MsiExec.exe /X{66F49D6A-E999-4DB0-ADB6-EE546806E340}
ASIO4ALL-->C:\Programme\ASIO4ALL v2\uninstall.exe
Ask Toolbar-->MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
AVM FRITZ!WLAN-->C:\Programme\avmwlanstick\instwcli.exe -d1
Battlefield 2: Complete Collection-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A8DBF55D-73C0-4E37-A10E-365BFBB14119}\setup.exe" -l0x7 -removeonly
CDBurnerXP-->"C:\Programme\CDBurnerXP\unins000.exe"
Counter-Strike: Source-->"C:\Programme\Steam\steam.exe" steam://uninstall/240
Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4}
DAEMON Tools-->MsiExec.exe /I{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}
Dir-It!-->MsiExec.exe /X{602A58C3-BDF2-4B8A-B9D3-B6D9BACA386A}
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EA Download Manager-->C:\Programme\Electronic Arts\EADM\Uninstall.exe
Favorit-->"c:\dokumente und einstellungen\simon\lokale einstellungen\anwendungsdaten\vdettcq.exe" -uninstall
Firebird SQL Server - MAGIX Edition-->C:\Programme\MAGIX\Common\Database\unwise.exe
FL Studio 9-->C:\Programme\Image-Line\FL Studio 9\uninstall.exe
forteManager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E2903F16-9A5A-4292-9D97-8328088086B6}\setup.exe" -l0x7 -removeonly
Free Download Manager 3.0-->C:\Programme\Free Download Manager\uninst.exe
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Free YouTube Uploader version 2.3-->"C:\Programme\DVDVideoSoft\Free YouTube Uploader\unins000.exe"
GIMP 2.6.3-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
GomezPEER-->C:\Programme\Gomez\GomezPEER\uninstall.exe
Grand Theft Auto Vice City-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4B35F00C-E63D-40DC-9839-DF15A33EAC46}\setup.exe" -l0x7
Guitar Pro 5.2-->"C:\Programme\Guitar Pro 5\unins000.exe"
Hardcore-->C:\Programme\Image-Line\Hardcore\uninstall.exe
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
IL Download Manager-->C:\Programme\Image-Line\Downloader\uninstall.exe
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
KRISTAL Audio Engine-->C:\Programme\Kreatives.org\KRISTAL Audio Engine\Uninstall.exe
MAGIX Music Maker 15 Download-Version 15.0.1.5 (D)-->C:\Programme\MAGIX\MusicMaker15_Download-Version\unwise.exe
MAGIX Screenshare-->C:\Programme\MAGIX\PCVisit\unwise.exe
MAGIX Speed burnR-->C:\Programme\MAGIX\Speed3_burnR_mxcdr\unwise.exe
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Maximus-->C:\Programme\Image-Line\Maximus\uninstall.exe
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
mIRC-->C:\Programme\mIRC\uninstall.exe _?=C:\Programme\mIRC
Mozilla Firefox (3.5.5)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN-->C:\Programme\MSN\MsnInstaller\msninst.exe /Action:ARP
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
NVIDIA nView Desktop Manager-->C:\Programme\NVIDIA Corporation\nView\nViewSetup.exe -uninstall
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
OpenOffice.org 3.0-->MsiExec.exe /I{7EC19307-7C22-47A8-922B-3FA965291260}
Opera 10.00-->MsiExec.exe /X{2085F05D-24C5-4E27-B7B4-A51DE890FFC9}
PaltalkScene-->"C:\WINDOWS\PaltalkScene\uninstall.exe" "/U:C:\Programme\Paltalk Messenger\irunin.xml"
Paradiesbar 2.1 Release Candidate-->C:\Programme\Paradiesbar\unins000.exe
PoiZone-->C:\Programme\Image-Line\PoiZone\uninstall.exe
PunkBuster Services-->C:\WINDOWS\system32\pbsvc.exe -u
QuickTime Alternative 3.0.0-->"C:\Programme\QuickTime Alternative\unins000.exe"
Rakion International-->"C:\Programme\Softnyx\Rakion\unins000.exe"
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Programme\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x7 -removeonly
Sawer-->C:\Programme\Image-Line\Sawer\uninstall.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB974455)-->"C:\WINDOWS\ie7updates\KB974455-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
SmartFTP Client 3.0 Setup Files (remove only)-->C:\Programme\SmartFTP Client 3.0 Setup Files\uninst-sftp.exe
SmartFTP Client-->MsiExec.exe /I{6F23C1A3-9F62-470C-BD12-B83F04E67865}
Source SDK-->"C:\Programme\Steam\steam.exe" steam://uninstall/211
Star Wars Jedi Knight Jedi Academy-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1EECBA68-8BE4-4076-94DF-E9ED206B1D21}\Setup.exe" -l0x9
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Super Fast Shutdown 1.0-->"C:\Programme\Super Fast Shutdown\unins000.exe"
SWF Opener-->"C:\Programme\UnH Solutions\SWF Opener\unins000.exe"
Switch Sound File Converter-->C:\Programme\NCH Swift Sound\Switch\uninst.exe
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
TeamSpeak 2 Server RC2-->"C:\Programme\Teamspeak2_RC2\unins001.exe"
Text-To-Speech-Runtime-->MsiExec.exe /X{7B3F0113-E63C-4D6D-AF19-111A3165CCA2}
ToolbarBrowser v2.4-->"C:\Programme\TRELLIAN\Toolbar\unToolbarBrowser\unins000.exe"
Toxic Biohazard-->C:\Programme\Image-Line\Toxic Biohazard\uninstall.exe
Trellian SEO Toolkit v3.0-->"C:\Programme\TRELLIAN\SEO Toolkit v3.0\unins000.exe"
Trellian WebPage-->"C:\Programme\Trellian\Trellian WebPage\unins000.exe"
Trillian-->C:\Programme\Trillian\trillian.exe /uninstall
UndeletePlus™ 3.0.0.602-->"C:\Programme\Phoenix Technologies\UndeletePlus\unins000.exe"
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Unlocker 1.8.7-->C:\Programme\Unlocker\uninst.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows Internet Explorer 7 (KB976749)-->"C:\WINDOWS\ie7updates\KB976749-IE7\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VLC media player 0.9.8a-->C:\Programme\VideoLAN\VLC\uninstall.exe
WarRock-->C:\Programme\InstallShield Installation Information\{00D15456-F679-4AD4-8BD2-56450D4C3F72}\setup.exe -runfromtemp -l0x0009 -removeonly
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinSCP 4.1.8-->"C:\Programme\WinSCP\unins000.exe"
Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG
Yahoo! Software Update-->C:\PROGRA~1\Yahoo!\SOFTWA~1\UNINST~1.EXE
Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE
Zattoo 3.3.4 Beta-->C:\Programme\Zattoo\uninst.exe
======System event log======
Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.
Record Number: 5322
Source Name: Service Control Manager
Time Written: 20090828025137.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet.
Record Number: 5321
Source Name: Service Control Manager
Time Written: 20090828025137.000000+120
Event Type: Informationen
User: SIMAGAIN\Simon
Computer Name: ***
Event Code: 7036
Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt".
Record Number: 5320
Source Name: Service Control Manager
Time Written: 20090828025137.000000+120
Event Type: Informationen
User:
Computer Name: ***
Event Code: 7036
Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 5319
Source Name: Service Control Manager
Time Written: 20090828025137.000000+120
Event Type: Informationen
User:
Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "LGDDCDevice" gesendet.
Record Number: 5318
Source Name: Service Control Manager
Time Written: 20090828025137.000000+120
Event Type: Informationen
User: SIMAGAIN\Simon
=====Application event log=====
Computer Name: ***
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
Record Number: 309
Source Name: SecurityCenter
Time Written: 20090401130255.000000+120
Event Type: Informationen
User:
Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
Record Number: 308
Source Name: LoadPerf
Time Written: 20090401081751.000000+120
Event Type: Informationen
User:
Computer Name: ***
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.
Record Number: 307
Source Name: LoadPerf
Time Written: 20090401081751.000000+120
Event Type: Informationen
User:
Computer Name: ***
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
Record Number: 306
Source Name: SecurityCenter
Time Written: 20090401081350.000000+120
Event Type: Informationen
User:
Computer Name: ***
Event Code: 1002
Message: Stillstehende Anwendung left4dead.exe, Version 0.0.0.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Record Number: 305
Source Name: Application Hang
Time Written: 20090331191951.000000+120
Event Type: Fehler
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\DivX Shared\;C:\Programme\QuickTime Alternative\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0605
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"sourcesdk"=c:\programme\steam\steamapps\simagain\sourcesdk
"VProject"=c:\programme\steam\steamapps\simagain\counter-strike source\cstrike
-----------------EOF-----------------
Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by Simon at 2009-12-04 19:14:11 Microsoft Windows XP Professional Service Pack 3 System drive C: has 21 GB (9%) free of 238 GB Total RAM: 2046 MB (69% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:14:12, on 04.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\LG Soft India\forteManager\bin\Monitor.exe C:\Programme\Paltalk Messenger\paltalk.exe C:\Programme\Trillian\trillian.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\WINDOWS\System32\svchost.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Java\jre6\bin\jucheck.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\FREEDO~1\FDM.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Downloads\Software\RSIT.exe C:\Programme\Trend Micro\HijackThis\Simon.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schnellsucher.com/?t=Q0908251707&s=h R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Trellian BHO Impl - {24180B00-2EB6-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\Toolbar\toolbar.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: Trellian &Toolbar - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\Toolbar\toolbar.dll O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Global Startup: forteManager.lnk = ? O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1236511992203 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: xxop81 - C:\WINDOWS\SYSTEM32\xxop81.dll O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe -- End of file - 8526 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-790525478-616249376-725345543-1003Core.job C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-790525478-616249376-725345543-1003UA.job C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\WINDOWS\tasks\WGASetup.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] &Yahoo! Toolbar Helper - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll [2009-07-31 909040] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{24180B00-2EB6-11d7-BD6F-004854603DCE}] Trellian BHO Impl - C:\Programme\TRELLIAN\Toolbar\toolbar.dll [2007-05-11 487424] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}] FDMIECookiesBHO Class - C:\Programme\Free Download Manager\iefdm2.dll [2009-03-02 98304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] Ask Toolbar - C:\Programme\Ask.com\GenericAskToolbar.dll [2009-06-16 1144712] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-04-16 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-04-16 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}] SingleInstance Class - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll [2009-07-31 159472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {D4027C7F-154A-4066-A1AD-4243D8127440} - Ask Toolbar - C:\Programme\Ask.com\GenericAskToolbar.dll [2009-06-16 1144712] {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll [2009-07-31 909040] {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - Trellian &Toolbar - C:\Programme\TRELLIAN\Toolbar\toolbar.dll [2007-05-11 487424] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "AVMWlanClient"=C:\Programme\avmwlanstick\wlangui.exe [2006-12-28 1454080] "RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-12-20 16860672] "Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632] "DAEMON Tools-1033"=C:\Programme\D-Tools\daemon.exe [2004-08-22 81920] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] "UnlockerAssistant"=C:\Programme\Unlocker\UnlockerAssistant.exe [2008-05-02 15872] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-04-16 148888] "nwiz"=C:\Programme\NVIDIA Corporation\nView\nwiz.exe [2009-07-08 1657376] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-07-14 13877248] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-07-14 86016] "ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe [2004-04-17 196608] "ISUSScheduler"=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2004-04-13 69632] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart forteManager.lnk - C:\Programme\LG Soft India\forteManager\bin\Monitor.exe PalTalk.lnk - C:\Programme\Paltalk Messenger\paltalk.exe C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart OpenOffice.org 3.0.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe Trillian.lnk - C:\Programme\Trillian\trillian.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxop81] C:\WINDOWS\system32\xxop81.dll [2009-12-03 5136] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=91000000 "NoDriveAutorun"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"= "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Trillian\trillian.exe"="C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian" "C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"="C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:*:Enabled:Crysis_32" "C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"="C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32" "C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA" "C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent" "C:\Programme\SmartFTP Client\SmartFTP.exe"="C:\Programme\SmartFTP Client\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0" "C:\Programme\EA GAMES\Battlefield 2\BF2.exe"="C:\Programme\EA GAMES\Battlefield 2\BF2.exe:*:Enabled:Battlefield 2" "C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser" "C:\Programme\Steam\steamapps\simagain\team fortress 2\hl2.exe"="C:\Programme\Steam\steamapps\simagain\team fortress 2\hl2.exe:*:Enabled:hl2" "C:\Programme\Steam\steamapps\simagain\counter-strike source\hl2.exe"="C:\Programme\Steam\steamapps\simagain\counter-strike source\hl2.exe:*:Enabled:hl2" "C:\Programme\Steam\Steam.exe"="C:\Programme\Steam\Steam.exe:*:Enabled:Steam" "C:\Programme\Zattoo\zattood.exe"="C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood" "C:\Programme\Electronic Arts\EADM\Core.exe"="C:\Programme\Electronic Arts\EADM\Core.exe:*:Enabled:EA Download Manager" "C:\Programme\Steam\steamapps\simagain\day of defeat source\hl2.exe"="C:\Programme\Steam\steamapps\simagain\day of defeat source\hl2.exe:*:Enabled:hl2" "C:\Programme\Steam\steamapps\simagain\garrysmod\hl2.exe"="C:\Programme\Steam\steamapps\simagain\garrysmod\hl2.exe:*:Enabled:hl2" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\Programme\Paltalk Messenger\paltalk.exe"="C:\Programme\Paltalk Messenger\paltalk.exe:*:Enabled:PaltalkScene" "C:\Programme\Rockstar Games\Grand Theft Auto Vice City\gta-vc.exe"="C:\Programme\Rockstar Games\Grand Theft Auto Vice City\gta-vc.exe:*:Enabled:gta-vc" "C:\Programme\Steam\steamapps\simagain\half-life 2 deathmatch\hl2.exe"="C:\Programme\Steam\steamapps\simagain\half-life 2 deathmatch\hl2.exe:*:Enabled:hl2" "C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Enabled:mIRC" "C:\Programme\Free Download Manager\fdm.exe"="C:\Programme\Free Download Manager\fdm.exe:*:Enabled:Free Download Manager" "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "C:\Programme\Java\jre6\bin\java.exe"="C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\Steam\steamapps\common\left 4 dead\left4dead.exe"="C:\Programme\Steam\steamapps\common\left 4 dead\left4dead.exe:*:Enabled:Left 4 Dead" "C:\WINDOWS\TEMP\bdri.tmp\svchost.exe"="C:\WINDOWS\TEMP\bdri.tmp\svchost.exe:*:Enabled:svchost" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" "\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:Enabled:winlogon" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{27d5181a-a769-11de-b6dc-00e04d8660f0}] shell\AutoRun\command - F:\pushinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28c94ac8-64d7-11de-b6c4-00e04d8660f0}] shell\AutoRun\command - F:\WDSetup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec000a1-b071-11de-b6e0-00e04d8660f0}] shell\AutoRun\command - G:\setup.exe ======List of files/folders created in the last 1 months====== 2009-12-04 19:13:30 ----D---- C:\rsit 2009-12-04 19:09:25 ----D---- C:\Programme\Mozilla Firefox 2009-12-04 15:47:00 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-12-03 15:46:34 ----A---- C:\WINDOWS\system32\xxop81.dll 2009-12-02 14:12:23 ----A---- C:\xxtsbc.exe 2009-12-02 14:12:03 ----A---- C:\WINDOWS\system32\fjhdyfhsn.bat 2009-12-02 14:11:37 ----A---- C:\escwayh.exe 2009-12-01 23:15:25 ----D---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Antares 2009-12-01 23:15:23 ----SHD---- C:\Config.Msi 2009-12-01 23:15:23 ----D---- C:\Programme\Antares Audio Technologies 2009-11-30 01:02:43 ----A---- C:\WINDOWS\Scheduler.exe 2009-11-29 15:42:47 ----D---- C:\Programme\Phoenix Technologies 2009-11-27 16:48:38 ----D---- C:\Programme\Ontrack 2009-11-13 19:36:35 ----DC---- C:\WINDOWS\system32\DRVSTORE 2009-11-13 19:36:23 ----D---- C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy 2009-11-13 19:36:23 ----D---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy 2009-11-13 19:36:23 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy 2009-11-12 15:58:39 ----D---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\LimeWire 2009-11-12 15:58:21 ----D---- C:\Programme\LimeWire ======List of files/folders modified in the last 1 months====== 2009-12-04 19:11:29 ----D---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Free Download Manager 2009-12-04 19:09:25 ----RD---- C:\Programme 2009-12-04 19:02:51 ----D---- C:\WINDOWS\system32 2009-12-04 19:02:51 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-12-04 19:01:57 ----D---- C:\WINDOWS\Temp 2009-12-04 19:01:56 ----A---- C:\RTHDCPL_Dump.txt 2009-12-04 18:59:32 ----D---- C:\WINDOWS\system32\drivers 2009-12-04 18:56:23 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-12-04 18:54:53 ----D---- C:\WINDOWS 2009-12-04 18:54:52 ----D---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Desktopicon 2009-12-04 18:54:51 ----D---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Adobe 2009-12-04 18:03:01 ----D---- C:\Programme\Trillian 2009-12-04 15:43:44 ----ASD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2009-12-04 15:40:24 ----D---- C:\Downloads 2009-12-03 22:30:26 ----D---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Skype 2009-12-03 22:26:02 ----D---- C:\Programme\Steam 2009-12-03 21:42:01 ----D---- C:\Programme\Acoustica Mixcraft 4 2009-12-03 18:55:35 ----D---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\skypePM 2009-12-02 14:12:23 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-12-02 14:11:50 ----SHD---- C:\RECYCLER 2009-12-02 14:09:25 ----D---- C:\WINDOWS\Prefetch 2009-12-01 23:15:31 ----SHD---- C:\WINDOWS\Installer 2009-12-01 23:15:31 ----SD---- C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Microsoft 2009-12-01 23:05:49 ----D---- C:\Programme\VstPlugins 2009-11-29 15:20:20 ----D---- C:\WINDOWS\system32\config 2009-11-29 15:20:08 ----D---- C:\WINDOWS\system32\wbem 2009-11-29 15:20:07 ----D---- C:\WINDOWS\Registration 2009-11-27 16:48:56 ----HD---- C:\Programme\InstallShield Installation Information 2009-11-22 14:31:44 ----D---- C:\WINDOWS\system32\CatRoot2 2009-11-17 13:28:27 ----D---- C:\WINDOWS\Minidump 2009-11-15 18:18:47 ----HD---- C:\WINDOWS\inf 2009-11-13 19:36:24 ----HD---- C:\Programme\WindowsUpdate 2009-11-13 19:36:23 ----D---- C:\Programme\Gemeinsame Dateien\System 2009-11-13 19:36:23 ----D---- C:\Programme\Gemeinsame Dateien 2009-11-11 11:47:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 BIOS;BIOS; \??\C:\WINDOWS\system32\drivers\BIOS.sys [] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-12-20 4637696] R3 LGDDCDevice;LGDDCDevice; \??\C:\Programme\LG Soft India\forteManager\bin\I2CDriver.sys [] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-07-14 7741664] R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2007-12-05 104064] R3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152] S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 4352] S3 EagleNT;EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [] S3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 265088] S3 LGII2CDevice;LGII2CDevice; \??\C:\Programme\LG Soft India\forteManager\bin\PII2CDriver.sys [] S3 PLCND532;PLCND532 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\PLCND532.sys [2007-12-14 26656] S3 PnkBstrK;PnkBstrK; \??\C:\WINDOWS\system32\drivers\PnkBstrK.sys [] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AVM WLAN Connection Service;AVM WLAN Connection Service; C:\Programme\avmwlanstick\WlanNetService.exe [2006-12-28 356352] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-04-16 152984] R2 NMSAccessU;NMSAccessU; C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-10-20 71096] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-07-14 168004] R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-08-10 75064] R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-08-15 189672] R2 YahooAUService;Yahoo! Updater; C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe [2008-11-09 602392] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- GMER jedoch : Hat ein Problem festgestellt und muss beendet werden. Wie geht es nun weiter, danke für die schnelle Hilfe fürs Erste. Simon |
|
04.12.2009, 20:28
| #4 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxop81
Files to delete:
C:\WINDOWS\system32\xxop81.dll
C:\xxtsbc.exe
C:\WINDOWS\system32\fjhdyfhsn.bat
C:\escwayh.exe
C:\Programme\TRELLIAN\Toolbar\toolbar.dll
C:\Programme\Ask.com\GenericAskToolbar.dll
Folders to delete:
C:\Programme\TRELLIAN\Toolbar
C:\Programme\Ask.com
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! (Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit) Code:
ATTFilter O2 - BHO: Trellian BHO Impl - {24180B00-2EB6-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\Toolbar\toolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Trellian &Toolbar - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\Toolbar\toolbar.dll
Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das GMER beendet wird ist ein schlechtes zeichen, deutet auf einen etwas härteren Rootkit hin. Bei dem Grad der Verseuchung solltest Du überlegen ob nicht Neuaufsetzen besser ist... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
09.12.2009, 14:47
| #5 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Sorry, hat etwas länger gedauert: Log Avenger: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\xxop81.dll" deleted successfully.
File "C:\xxtsbc.exe" deleted successfully.
File "C:\WINDOWS\system32\fjhdyfhsn.bat" deleted successfully.
File "C:\escwayh.exe" deleted successfully.
File "C:\Programme\TRELLIAN\Toolbar\toolbar.dll" deleted successfully.
File "C:\Programme\Ask.com\GenericAskToolbar.dll" deleted successfully.
Folder "C:\Programme\TRELLIAN\Toolbar" deleted successfully.
Folder "C:\Programme\Ask.com" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxop81" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Log Combofix: Code:
ATTFilter ComboFix 09-12-08.04 - Simon 09.12.2009 13:56:46.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1561 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Simon\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\gazsmf.dat
c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\gazsmf_nav.dat
c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\gazsmf_navps.dat
c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\vdettcq.dat
c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\vdettcq_navps.dat
c:\programme\driver
c:\recycler\S-1-5-21-8080798762-9933204209-413874609-1042
c:\recycler\S-1-5-21-9408339212-7261285265-491933822-1687
c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
Infizierte Kopie von c:\windows\system32\Drivers\atapi.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\system32\dllcache\atapi.sys wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\drivers\ndis.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\ndis.sys wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TCPSR
((((((((((((((((((((((( Dateien erstellt von 2009-11-09 bis 2009-12-09 ))))))))))))))))))))))))))))))
.
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\DVDVideoSoft
2009-12-04 18:13 . 2009-12-04 18:13 -------- d-----w- C:\rsit
2009-12-04 14:47 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-04 14:47 . 2009-12-04 14:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-04 14:47 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-02 13:12 . 2009-12-02 13:12 212224 -c--a-w- c:\windows\system32\dllcache\ndis.sys
2009-12-02 13:09 . 2009-12-02 13:09 -------- d-----w- c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware
2009-11-30 00:02 . 2008-10-21 18:22 276443 ----a-w- c:\windows\Scheduler.exe
2009-11-29 14:42 . 2009-11-29 14:42 -------- d-----w- c:\programme\Phoenix Technologies
2009-11-29 14:20 . 2009-11-29 14:20 -------- d-----w- c:\windows\system32\wbem\Repository
2009-11-27 15:48 . 2009-11-29 14:19 -------- d-----w- c:\programme\Ontrack
2009-11-13 18:36 . 2009-11-13 18:36 -------- dc----w- c:\windows\system32\DRVSTORE
2009-11-13 18:36 . 2009-11-15 19:30 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-15 19:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-13 18:36 -------- d-----w- c:\programme\Gemeinsame Dateien\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-13 18:36 -------- d-----w- c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\PACE Anti-Piracy
2009-11-12 14:58 . 2009-11-12 15:30 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire
2009-11-12 14:58 . 2009-11-12 15:30 -------- d-----w- c:\programme\LimeWire
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-09 13:20 . 2001-08-23 12:00 84326 ----a-w- c:\windows\system32\perfc007.dat
2009-12-09 13:20 . 2001-08-23 12:00 458822 ----a-w- c:\windows\system32\perfh007.dat
2009-12-09 13:05 . 2004-08-03 21:59 148768 ----a-w- c:\windows\system32\drivers\atapi.sys
2009-12-09 12:50 . 2009-03-08 14:35 -------- d-----w- c:\programme\Trillian
2009-12-08 22:11 . 2009-03-08 14:43 -------- d-----w- c:\programme\Steam
2009-12-07 22:33 . 2009-08-25 19:57 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager
2009-12-07 12:25 . 2009-12-01 17:26 79488 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-05 12:15 . 2009-10-25 18:43 -------- d-----w- c:\programme\Trellian
2009-12-04 18:58 . 2009-03-08 11:45 -------- d-----w- c:\programme\Opera
2009-12-03 21:30 . 2009-03-08 15:42 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype
2009-12-03 20:42 . 2009-05-27 17:36 -------- d-----w- c:\programme\Acoustica Mixcraft 4
2009-12-03 17:55 . 2009-03-08 15:44 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM
2009-12-02 13:12 . 2004-08-03 22:14 212224 ----a-w- c:\windows\system32\drivers\ndis.sys
2009-12-02 13:12 . 2009-12-02 13:12 12 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat
2009-12-02 13:11 . 2009-12-02 13:11 4 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\avdrn.dat
2009-12-01 22:05 . 2009-09-27 21:35 -------- d-----w- c:\programme\VstPlugins
2009-11-27 15:48 . 2009-03-08 11:01 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-11 19:20 . 2009-03-10 15:41 1 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-11 10:47 . 2009-10-17 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-11-02 13:34 . 2009-03-15 10:33 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock
2009-10-27 14:04 . 2009-10-27 14:04 -------- d-----w- c:\programme\UnH Solutions
2009-10-27 13:55 . 2009-10-27 13:55 -------- d-----w- c:\programme\QuickTime Alternative
2009-10-27 13:55 . 2009-09-22 20:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-10-25 18:46 . 2009-10-25 18:44 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Trellian
2009-10-17 14:36 . 2009-10-17 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2009-10-17 14:25 . 2009-10-17 14:25 -------- d-----w- c:\programme\Yahoo!
2009-10-17 14:25 . 2009-10-17 14:25 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Yahoo!
2009-09-27 21:36 . 2009-09-27 21:35 3828846 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenCandy\maximus_install.exe
2009-09-18 13:57 . 2009-09-18 13:57 18015723 ----a-w- C:\vlc-1.0.1-win32.exe
2009-09-18 12:29 . 2009-03-08 11:33 31760 ----a-w- c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-11 14:17 . 2004-08-03 23:57 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-05-01 21:02 . 2009-01-27 01:34 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-01-27 01:34 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll
2009-03-15 23:57 . 2009-03-10 12:24 10289184 --sha-w- c:\windows\system32\drivers\fidbox.dat
.
------- Sigcheck -------
[-] 2009-12-09 . C5A2E3829981F247116AD35359C90274 . 148768 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys
[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ndis.sys
[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys
[-] 2004-08-03 . 1DF7F42665C94B825322FAE71721130D . 182912 . . [5.1.2600.5512] . . c:\windows\$NtServicePackUninstall$\ndis.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 16860672]
"DAEMON Tools-1033"="c:\programme\D-Tools\daemon.exe" [2004-08-22 81920]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-16 148888]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-07-08 1657376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-07-14 86016]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
scandisk.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
scandisk.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
scandisk.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]
PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
scandisk.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\day of defeat source\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\garrysmod\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Paltalk Messenger\\paltalk.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Free Download Manager\\fdm.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [14.03.2009 14:59 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [14.03.2009 14:59 5248]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]
R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]
S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
AddRemove-mIRC - c:\programme\mIRC\uninstall.exe _?=c:\programme\mIRC
AddRemove-Paradiesbar_is1 - c:\programme\Paradiesbar\unins000.exe
AddRemove-ToolbarBrowser_is1 - c:\programme\TRELLIAN\Toolbar\unToolbarBrowser\unins000.exe
AddRemove-vdettcq - c:\dokumente und einstellungen\simon\lokale einstellungen\anwendungsdaten\vdettcq.exe
AddRemove-Zattoo - c:\programme\Zattoo\uninst.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-09 14:19
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe >>UNKNOWN [0x89D36500]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecf28
\Driver\ACPI -> ACPI.sys @ 0xb7f58cb8
\Driver\atapi -> 0x895cfe30
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,
2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\
"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,
0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\
"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(4756)
c:\programme\Trillian\events.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-09 14:29:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-09 13:29
Vor Suchlauf: 15 Verzeichnis(se), 20.793.417.728 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 21.908.074.496 Bytes frei
- - End Of File - - 641B1C4D7239AF320FC1457D8CDCE7B7
Bin ich jetz wieder clean?Oder ist da noch etwas? Ah, Opera und Firefox öffnen nichtmehr, nur noch Internet Explorer.Auch wenn ich nun auf Opera gehe, öffnet einfach Internet Explorer. Lg Simon |
|
09.12.2009, 14:58
| #6 | |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, nein, bist Du noch nicht (obwohl, ich kann das ja nur über den Rechner sagen, wie das bei Dir aussieht ;o)... Diese Datei auf der Fesplatte C:\ suchen und alle Funde löschen: scandisk.lnk MBR-Rootkit Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Falls dem nicht so ist, mbr /f ausführen ... Log dann nochmal posten... chris
__________________ --> Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen |
|
09.12.2009, 15:29
| #7 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Also ich bin clean, nur mein Pc wohl nich haha. Keine Suchergebnisse liegen vor, hab jetzt mit der normalen Suche gesucht.Womit soll ich den suchen? mbr log: Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Geändert von simagain (09.12.2009 um 15:43 Uhr) |
|
09.12.2009, 16:00
| #8 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, bitte fixe doch mal mit mbr (mbr /f). Prüfe Online die acpi.sys über virustotal.com (c:\windows\system32\Drivers\ACPI.sys). Der Rootkit sollte eigentlich von ComboFix erwischt worden sein. Falls Du Daemon-Tools oder Alcohol drauf hast, bitte temporär deinstallieren und ein neues GMR-Log erstellen (es gibt da noch einig Hooks die allerdings auch von den genannten Tools herrühren können) Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) scandisk.lnk in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Öffne eine cmd (Start->Ausführen->CMD) navigiere auf die höchste Laufwerksebene (cd \)schreib dort dann rein: dir scandisk.lnk /s >temp.txt öffne die temp.txt im Editor, kopiere das Ergebnis ab und poste es hier... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
09.12.2009, 16:17
| #9 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Download Registry Search by Bobbi Flekman log: Code:
ATTFilter Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0
; Results at 09.12.2009 16:10:44 for strings:
; 'scandisk.lnk'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="scandisk.lnk"
"001"="*scandisk.lnk *"
; End Of The Log...
dir scandisk.lnk /s >temp.txt konnte nicht gefunden werden. Virus total: Code:
ATTFilter Datei ACPI.sys empfangen 2009.12.09 15:07:54 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
|
|
09.12.2009, 17:06
| #10 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, wurden keine Files (scandisk.lnk) gefunden, oder die Datei temp.txt nicht erstellt? Poste bitte mal den Inhalt der temp.txt... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
09.12.2009, 17:43
| #11 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Ja es wurde keine temp.txt erstellt. Nein keine files gefunden.ich hab daemon tools deinstalliert und neu gestartet. |
|
09.12.2009, 21:50
| #12 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete:
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\scandisk.lnk
C:\WINDOWS\system32\config\systemprofile\Startmen\Programme\Autostart\scandisk.lnk
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Deinstalliere Opera und Firefox, danach Firefox neu installieren (ggf. vorher Links etc. sichern)... Läuft GMER jetzt? Poste ein Log vom Rootkitscann... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
11.12.2009, 14:46
| #13 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen GMER Log: Code:
ATTFilter GMER 1.0.15.15273 - http://www.gmer.net
Rootkit scan 2009-12-11 14:44:39
Windows 5.1.2600 Service Pack 3
Running: cq00dbdp.exe; Driver: C:\DOKUME~1\Simon\LOKALE~1\Temp\fwtcypow.sys
---- System - GMER 1.0.15 ----
Code 89D76500 pIofCallDriver
---- Kernel code sections - GMER 1.0.15 ----
? pcqdoj.sys Das System kann die angegebene Datei nicht finden. !
.reloc C:\WINDOWS\system32\drivers\NDIS.sys section is executable [0x89C8F200, 0x32AAA, 0xE0000060]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB6894380, 0x3DEB95, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\svchost.exe[956] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 0263000A
.text C:\WINDOWS\Explorer.EXE[2000] SHELL32.dll!SHFileOperationW 7E720924 5 Bytes JMP 10001102 C:\Programme\Unlocker\UnlockerHook.dll
? C:\WINDOWS\System32\svchost.exe[2524] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;
? C:\WINDOWS\System32\svchost.exe[2540] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;
? C:\WINDOWS\System32\svchost.exe[2584] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;
? C:\WINDOWS\System32\svchost.exe[4636] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: gdiplus.dllunknown module: OLEAUT32.dllunknown module: urlmon.dll
.text C:\WINDOWS\System32\svchost.exe[4636] USER32.dll!SetForegroundWindow 7E3742ED 8 Bytes [B8, 01, 00, 00, 00, C2, 04, ...] {MOV EAX, 0x1; RET 0x4}
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 9B8401C7
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 46E90043
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 560001AA
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [00439B84] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 01AA38E8
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] AC0FE856
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 8B55C300
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 1475FFEC
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] FF1075FF
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 10C48308
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 8B55C35D
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 1475FFEC
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] FF1075FF
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 75FF0C75
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] B108E808
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 458B0001
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] F0A4E800
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] F18B0001
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] E8F07589
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 0001A906
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 8D0875FF
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 06C70C4E
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] [00439B90] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 001D67E8
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] E8C68B00
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 0001F156
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 560004C2
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 006AF18B
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 4E8D016A
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 9006C70C
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] E800439B
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 000022DD
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] E95ECE8B
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 0001A999
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] E8F18B56
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] FFFFFFDB
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 082444F6
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 56077401
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 01AB68E8
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 0004C25E
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 9B9C01C7
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] BCE90043
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 56FFFFFF
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] [00439B9C] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] FFFFAEE8
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 2444F6FF
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 07740108
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] AB3BE856
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] B8046A00
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] [00433E58] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 01F009E8
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 89F18B00
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 7D8BF075
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] DEE85708
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 830001A8
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 8300FC65
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 06C70C4E
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] [00439B90] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 001CC7E8
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] E8C68B00
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 0001F0B6
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 830004C2
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 60830020
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 0A8B0004
IAT C:\WINDOWS\System32\svchost.exe[2524] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 04728B56
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 9B8401C7
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 46E90043
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 560001AA
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [00439B84] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 01AA38E8
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] AC0FE856
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 8B55C300
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 1475FFEC
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] FF1075FF
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 10C48308
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 8B55C35D
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 1475FFEC
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] FF1075FF
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 75FF0C75
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] B108E808
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 458B0001
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] F0A4E800
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] F18B0001
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] E8F07589
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 0001A906
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 8D0875FF
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 06C70C4E
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] [00439B90] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 001D67E8
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] E8C68B00
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 0001F156
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 560004C2
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 006AF18B
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 4E8D016A
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 9006C70C
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] E800439B
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 000022DD
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] E95ECE8B
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 0001A999
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] E8F18B56
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] FFFFFFDB
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 082444F6
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 56077401
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 01AB68E8
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 0004C25E
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 9B9C01C7
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] BCE90043
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 56FFFFFF
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] [00439B9C] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] FFFFAEE8
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 2444F6FF
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 07740108
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] AB3BE856
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] B8046A00
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] [00433E58] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 01F009E8
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 89F18B00
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 7D8BF075
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] DEE85708
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 830001A8
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 8300FC65
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 06C70C4E
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] [00439B90] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 001CC7E8
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] E8C68B00
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 0001F0B6
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 830004C2
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 60830020
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 0A8B0004
IAT C:\WINDOWS\System32\svchost.exe[2540] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 04728B56
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 9B8401C7
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 46E90043
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 560001AA
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [00439B84] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 01AA38E8
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] AC0FE856
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 8B55C300
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 1475FFEC
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] FF1075FF
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 10C48308
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 8B55C35D
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 1475FFEC
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] FF1075FF
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 75FF0C75
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] B108E808
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 458B0001
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] F0A4E800
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] F18B0001
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] E8F07589
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 0001A906
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 8D0875FF
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 06C70C4E
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] [00439B90] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 001D67E8
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] E8C68B00
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 0001F156
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 560004C2
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 006AF18B
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 4E8D016A
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 9006C70C
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] E800439B
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 000022DD
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] E95ECE8B
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 0001A999
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] E8F18B56
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] FFFFFFDB
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 082444F6
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 56077401
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 01AB68E8
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 0004C25E
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 9B9C01C7
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] BCE90043
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 56FFFFFF
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] [00439B9C] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] FFFFAEE8
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 2444F6FF
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 07740108
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] AB3BE856
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] B8046A00
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] [00433E58] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 01F009E8
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 89F18B00
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 7D8BF075
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] DEE85708
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 830001A8
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 8300FC65
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 06C70C4E
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] [00439B90] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 001CC7E8
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] E8C68B00
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 0001F0B6
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 830004C2
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 60830020
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 0A8B0004
IAT C:\WINDOWS\System32\svchost.exe[2584] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 04728B56
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 0008C280
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 0010C280
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 83EC8B55
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 75001C7D
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 0C7D831E
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 6A1E7501
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 03E86800
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 016A0000
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] FF0471FF
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 4382A415
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 18458B00
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 33002083
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 498BF175
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 74C98524
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 13E85106
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 8B000101
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 20831845
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] [40C03300] C:\WINDOWS\system32\mshtml.dll (Microsoft (R) HTML Viewer/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 006ADBEB
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] E406C708
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 830043A3
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 8B00FC65
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] C0852446
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 088B0A74
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 0851FF50
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 00246683
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] FFFC4D83
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 8514768B
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 560674F6
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 01F57EE8
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 406FE800
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 04C20002
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] F18B5600
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] FFB4E856
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] 44F6FFFF
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 74010824
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 3BE85607
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 590001F9
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] C25EC68B
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] [408B0004] C:\WINDOWS\system32\WININET.dll (Internet Extensions for Win32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 74C08514
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 4CE85006
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] C30001F5
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 33002083
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 0008C2C0
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 0018C280
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 0024C280
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] 1024448B
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] B8002083
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 80004001
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 8B0010C2
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 83082444
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 02B80020
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] C2800040
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] C0330008
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 0014C240
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 0824448B
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 000440C7
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] 33000002
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 0008C2C0
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 18C2C033
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 330008C2
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 10C240C0
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 24448B00
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 0020830C
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] [004001B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 000CC280
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 51EC8B55
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[4636] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] FC458D56
---- Devices - GMER 1.0.15 ----
Device -> \Driver\atapi \Device\Harddisk0\DR0 89CD2618
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Avenger log: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\scandisk.lnk" deleted successfully.
Error: could not open file "C:\WINDOWS\system32\config\systemprofile\Startmen\Programme\Autostart\scandisk.lnk"
Deletion of file "C:\WINDOWS\system32\config\systemprofile\Startmen\Programme\Autostart\scandisk.lnk" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Completed script processing.
*******************
Finished! Terminate.
Opera und Google chrome sowie Firefox gehen wieder OHNE neuinstalliert zu haben. |
|
11.12.2009, 16:17
| #14 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Oh nein, was ist das. Ich hab neu gestartet, jetzt ist Firefox abgestürzt und kein Browser geht wieder. Vielleicht hat er sich regeneriert über die wiederherstellungskonsole oder so etwas. Die Systemwiederherstellung ist nämlich an, oder ist das bei sowas nicht der Fall? Wie geht es jetzt weiter? Die scandisk dateien wurden ja auch nciht gefunden. Lg Simon |
|
11.12.2009, 16:52
| #15 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, das sieht jetzt so aus, das wir es mit einem Rootkit zu tun haben... Die svchost wurde modifiziert, die atapi.sys wird wieder als "supect" gemeldet... Hast Du eine XP-Boot-CD (Ev. müssen wir von da saubere Versionen der Dateien besorgen...) Ich habe Dich am Anfang darauf hingewiesen, dass bei einer solch massiven Verseuchung (immerhin hat MAM ha über 50 Tierchen gefunden), der Rechner neu aufgesetzt werden sollte! Deinstalliere ComboFix (Start->Ausführen combofix /u), lade ihn neu runter und lass Ihn laufen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Dannach bitte sofort die MBR.exe mit /f laufen lassen Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr /f das Programm... Dann: http://www.trojaner-board.de/59299-a...eb-cureit.html chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (11.12.2009 um 17:02 Uhr) |
|
| Themen zu Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen |
| ask toolbar, ask.com, ausspioniert, bho, cdburnerxp, computer, e-mail, email, entfernen, firefox, frage, free download, helper, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet explorer, kunde, locker, logfile, magix, mozilla, nicht gefunden, object, personen, plug-in, problem, security, server, stick, system, thomas, trojaner, virus, web.de, wichtige daten, windows, windows xp, ändern |
Linear-Darstellung
