| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner W32/Kates.GWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.12.2009, 09:21
| #1 |
| |  Trojaner W32/Kates.G Hallo Trojaner-Board. Der Echtzeit-Scanner meines AV-Programmes Norman Seurity Suite meldet immer in sehr kurzen Abständen, dass ein Trojaner erkannt und in die Quarantäne verschoben wurde. Code:
ATTFilter W32/Kates.G Infected file C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\mji.old Quarantined file C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\mji.old Login info: user 'SYSTEM', host '***' .
dass Suchergebnisse über Google falsch weitergeleitet wurden oder bei der Google Suchanfrage der Firefox abgestürzt ist. Danach hatte sich auch das Norman Security Center gar nicht mehr öffnen lassen. Auch die Software Malwarebytes' Anti-malware ließ sich nicht mehr aktualisieren sowie starten. Daraufhin habe ich Windows über die Installations CD repariert und das Security Center komplett neu installiert. Jetzt lässt sich Norman SC sowie das Anti-Malware starten und aktualisieren. Anti-Malware findet aber keine verseuchten Objekte. Nur Norman SC poppt mit der oben genannten Meldung alle Minuten wieder auf. Hier findet Ihr meine Logs. Schönen Gruß ThxGodIsFriday |
|
07.12.2009, 09:40
| #2 |
  | Trojaner W32/Kates.G Hi,
__________________ist das ein geschäftlich genutzter Rechner? chris
__________________ |
|
07.12.2009, 09:50
| #3 | |
| | Trojaner W32/Kates.GZitat:
 schönen Gruß ThxGodIsFriday |
|
07.12.2009, 09:57
| #4 |
| | Trojaner W32/Kates.G Hi, Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
07.12.2009, 14:02
| #5 |
| | Trojaner W32/Kates.G Hi Chris, folgendes hat er beim Start gemeldet: Code:
ATTFilter GMER 1.0.15.15252 - http://www.gmer.net
Rootkit quick scan 2009-12-07 14:01:45
Windows 5.1.2600 Service Pack 3
Running: v15ve247.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\ugliypob.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice \Driver\Tcpip \Device\Tcp TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice \Driver\Tcpip \Device\Udp TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice \Driver\Tcpip \Device\RawIp TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
---- EOF - GMER 1.0.15 ----
ThxGodIsFriday |
|
08.12.2009, 09:59
| #7 |
| | Trojaner W32/Kates.G Hi Chris, beim kompletten Scan innerhalb des File-Scans trat im Programm-Ordner ein Blue-Screen mit dem Hinweis "PFN_LIST_CORRUPT" auf. Habe nun einen Scan ohne Files durchgeführt: Code:
ATTFilter GMER 1.0.15.15252 - h**p://www.gmer.net
Rootkit scan 2009-12-08 09:51:19
Windows 5.1.2600 Service Pack 3
Running: v15ve247.exe; Driver: C:\DOKUME~1\****\LOKALE~1\Temp\ugliypob.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwCreateProcess [0xBA9BC0D4]
SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwCreateProcessEx [0xBA9BC104]
SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwCreateThread [0xBA9BB6FC]
SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwTerminateProcess [0xBA9BC488]
SSDT \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA) ZwWriteVirtualMemory [0xBA9BC134]
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB95E9380, 0x2F1D77, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\nvsvc32.exe[172] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 100A3DEC
.text C:\WINDOWS\system32\nvsvc32.exe[172] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 100A3C34
.text C:\WINDOWS\system32\nvsvc32.exe[172] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 100A3E70
.text C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!connect 71A14A07 5 Bytes JMP 100A3AE8
.text C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!send 71A14C27 5 Bytes JMP 100A325C
.text C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100A27F0
.text C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!recv 71A1676F 5 Bytes JMP 100A2784
.text C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 100A3A94
.text C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\system32\svchost.exe[464] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\svchost.exe[464] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\svchost.exe[464] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] KERNEL32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] KERNEL32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\system32\winlogon.exe[752] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\winlogon.exe[752] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\winlogon.exe[752] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\system32\services.exe[804] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\services.exe[804] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\services.exe[804] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\services.exe[804] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\services.exe[804] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\services.exe[804] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\services.exe[804] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\services.exe[804] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\system32\savedump.exe[840] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\savedump.exe[840] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\savedump.exe[840] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\system32\lsass.exe[848] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\lsass.exe[848] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\lsass.exe[848] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\system32\ctfmon.exe[1044] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[1064] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\svchost.exe[1064] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\svchost.exe[1064] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\system32\wuauclt.exe[1172] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\wuauclt.exe[1172] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\wuauclt.exe[1172] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\System32\svchost.exe[1220] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\System32\svchost.exe[1220] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\System32\svchost.exe[1220] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\system32\wscntfy.exe[1228] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\wscntfy.exe[1228] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Norman\npm\bin\nvoy.exe[1328] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\npm\bin\nvoy.exe[1328] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\npm\bin\nvoy.exe[1328] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Norman\npc\bin\nuaa.exe[1416] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\npc\bin\nuaa.exe[1416] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\npc\bin\nuaa.exe[1416] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\WINDOWS\system32\spoolsv.exe[1692] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\spoolsv.exe[1692] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\spoolsv.exe[1692] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Bonjour\mDNSResponder.exe[1832] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Bonjour\mDNSResponder.exe[1832] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Bonjour\mDNSResponder.exe[1832] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Java\jre6\bin\jqs.exe[1968] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Java\jre6\bin\jqs.exe[1968] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Java\jre6\bin\jqs.exe[1968] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F070F5A
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A
.text C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\rundll32.exe[2184] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe[2340] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Dokumente und Einstellungen\****\Desktop\v15ve247.exe[2400] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Dokumente und Einstellungen\****\Desktop\v15ve247.exe[2400] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!htons 71A12E53 6 Bytes JMP 5F040F5A
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAGetLastError + 2 71A13CD0 4 Bytes [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!closesocket 71A13E2B 6 Bytes JMP 5F0D0F5A
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!connect 71A14A07 6 Bytes JMP 5F130F5A
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAEventSelect 71A164D9 6 Bytes JMP 5F1F0F5A
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAAsyncSelect 71A20991 6 Bytes JMP 5F1C0F5A
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAConnect 71A20C81 6 Bytes JMP 5F190F5A
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAAccept 71A20DC1 6 Bytes JMP 5F160F5A
.text C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!accept 71A21040 6 Bytes JMP 5F100F5A
.text C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe[2960] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[2992] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[3116] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Programme\FreePDF_XP\fpassist.exe[3348] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\RTHDCPL.EXE[3492] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text ...
.text C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
.text C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC
.text C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34
.text C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70
.text C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8
.text C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C
.text C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0
.text C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784
.text C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice \Driver\Tcpip \Device\Udp TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice \Driver\Tcpip \Device\RawIp TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df049cf64
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000df049cf64 (not active ControlSet)
---- EOF - GMER 1.0.15 ----
Schönen Gruß ThxGodIsFriday |
|
08.12.2009, 11:54
| #8 |
| | Trojaner W32/Kates.G Hallo zusammen, habe per Knoppix Live CD die Datei mji.old erfolgreich löschen können. Jetzt kommen die Trojaner-Hinweise der Norman Sec. Suite auch nicht mehr. Sollte ich zur Sicherheit noch etwas beachten? Schönen Gruß ThxGodIsFri |
|
08.12.2009, 12:19
| #9 |
| | Trojaner W32/Kates.G Hi, prüfe bitte bei virustotal.com folgendes File: C:\WINDOWS\system32\ws2_32.dll Sonst sieht es gut aus... Lass noch bitte CureIT scannen, poste das Log: http://www.trojaner-board.de/59299-anleitung-drweb-cureit.html chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
10.12.2009, 07:58
| #10 | ||
| | Trojaner W32/Kates.G Hi Chris, Zitat:
Zitat:
Code:
ATTFilter Process.exe;C:\WINDOWS\system32;Tool.Prockill;;
Alex |
|
10.12.2009, 09:25
| #11 |
| | Trojaner W32/Kates.G Hi, Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
11.12.2009, 17:49
| #12 |
| | Trojaner W32/Kates.G Anscheinend hat er doch noch etwas gefunden. Oder schaue ich gerade falsch? Code:
ATTFilter ComboFix 09-12-10.01 - ***** 11.12.2009 13:20:35.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1420 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\ComboFix.exe
AV: Norman Security Suite *On-access scanning enabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
FW: Norman Security Suite *enabled* {83B29CE9-9DE2-2CB5-9AB3-780D70FF12B0}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\INSTALL.LOG
c:\recycler\S-1-5-21-1085031214-1715567821-839522115-500
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\twain_32.dll
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2009-11-11 bis 2009-12-11 ))))))))))))))))))))))))))))))
.
2009-12-10 06:45 . 2009-12-10 06:45 -------- d-----w- C:\found.001
2009-12-10 06:36 . 2009-12-10 06:36 361728 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-12-09 11:32 . 2009-12-09 11:32 -------- d-----w- C:\found.000
2009-12-09 09:25 . 2009-12-09 09:25 -------- d-----w- c:\dokumente und einstellungen\*****\DoctorWeb
2009-12-08 17:08 . 2009-12-08 17:08 -------- d-----w- c:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Identities
2009-12-08 12:49 . 2008-11-20 19:19 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys
2009-12-08 12:49 . 2008-11-20 19:19 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2009-12-08 12:48 . 2009-12-08 12:48 -------- d-----w- c:\programme\Google
2009-12-08 06:38 . 2009-12-08 06:38 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Subversion
2009-12-07 09:07 . 2005-05-03 10:43 69632 ----a-w- c:\windows\Alcmtr.exe
2009-12-06 22:12 . 2009-12-06 22:12 -------- d-----w- c:\windows\l2schemas
2009-12-06 22:12 . 2009-12-06 22:12 -------- d-----w- c:\windows\system32\de
2009-12-06 22:12 . 2009-12-06 22:12 -------- d-----w- c:\windows\system32\bits
2009-12-06 19:58 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-12-06 19:55 . 2009-10-29 07:40 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-12-06 19:55 . 2009-10-29 07:40 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-12-06 19:55 . 2009-10-29 07:40 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-12-06 19:55 . 2009-10-29 07:40 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-12-06 19:55 . 2009-10-29 07:40 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-12-06 19:55 . 2009-10-29 07:40 11069952 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-12-06 18:36 . 2009-10-07 13:22 76944 ----a-w- c:\windows\system32\drivers\tdi_rd.sys
2009-12-06 18:36 . 2009-10-07 13:20 82072 ----a-w- c:\windows\system32\drivers\ndis_rd.sys
2009-12-06 18:36 . 2009-10-08 11:59 21832 ----a-w- c:\windows\system32\drivers\nvcw32mf.sys
2009-12-06 18:36 . 2009-10-07 13:07 214344 ----a-w- c:\windows\system32\nscrnsav.scr
2009-12-06 15:23 . 2009-12-06 15:25 34816 ----a-w- c:\windows\system32\drivers\play1.bat.sys
2009-12-06 13:11 . 2009-12-06 13:11 4844296 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-06 13:11 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-06 13:11 . 2009-12-06 13:11 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-06 13:11 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-06 11:44 . 2008-04-14 02:22 69120 ------w- c:\windows\system32\wlanapi.dll
2009-12-06 11:44 . 2008-04-14 02:22 53248 ------w- c:\windows\system32\tsgqec.dll
2009-12-06 11:44 . 2008-04-14 02:22 50688 ------w- c:\windows\system32\tspkg.dll
2009-12-06 11:42 . 2008-04-14 02:22 81920 ------w- c:\windows\system32\ieencode.dll
2009-12-06 11:30 . 2008-06-14 17:32 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2009-12-06 11:30 . 2008-04-11 19:04 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll
2009-12-04 22:12 . 2009-12-04 22:12 -------- d-----w- c:\dokumente und einstellungen\Home\Anwendungsdaten\Malwarebytes
2009-12-04 21:38 . 2009-12-07 06:13 -------- d-----w- c:\programme\trend micro
2009-12-04 21:17 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2009-12-04 21:17 . 2009-03-06 14:19 286720 -c----w- c:\windows\system32\dllcache\pdh.dll
2009-12-04 21:17 . 2009-02-09 11:21 111104 -c----w- c:\windows\system32\dllcache\services.exe
2009-12-04 21:17 . 2009-02-09 10:51 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll
2009-12-04 21:17 . 2009-06-25 08:25 737792 -c----w- c:\windows\system32\dllcache\lsasrv.dll
2009-12-04 21:17 . 2009-02-09 10:51 678400 -c----w- c:\windows\system32\dllcache\advapi32.dll
2009-12-04 21:17 . 2009-02-09 10:51 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll
2009-12-04 21:17 . 2009-02-09 10:51 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2009-12-04 21:17 . 2009-02-09 10:51 740352 -c----w- c:\windows\system32\dllcache\ntdll.dll
2009-12-04 21:16 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys
2009-12-04 21:16 . 2008-10-24 11:21 455296 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2009-12-04 21:16 . 2008-12-11 10:57 333952 -c----w- c:\windows\system32\dllcache\srv.sys
2009-12-04 21:16 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-12-04 21:15 . 2009-11-02 19:42 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-12-04 21:15 . 2009-08-04 17:26 2147840 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-12-04 21:15 . 2009-08-04 17:26 2068352 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-12-04 21:15 . 2009-08-04 17:25 2026496 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2009-12-04 21:15 . 2008-10-15 16:35 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2009-12-04 15:59 . 2009-12-04 15:59 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2009-12-04 15:59 . 2009-12-04 15:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-04 15:44 . 2009-12-04 20:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-04 15:44 . 2009-12-04 15:46 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-12-04 15:21 . 2009-12-04 15:21 -------- d-----w- c:\programme\CCleaner
2009-12-04 13:58 . 2007-10-29 12:00 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll
2009-12-04 13:57 . 2007-10-29 12:00 229439 -c--a-w- c:\windows\system32\dllcache\multibox.dll
2009-12-04 13:56 . 2007-10-29 12:00 57399 -c--a-w- c:\windows\system32\dllcache\cplexe.exe
2009-12-04 13:51 . 2007-10-29 12:00 16384 -c--a-w- c:\windows\system32\dllcache\isignup.exe
2009-12-04 13:05 . 2007-10-29 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2009-12-04 13:05 . 2007-10-29 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2009-12-04 13:05 . 2007-10-29 12:00 13824 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2009-12-04 13:05 . 2007-10-29 12:00 13824 ----a-w- c:\windows\system32\irclass.dll
2009-12-04 10:56 . 2009-12-04 10:56 152576 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-04 10:56 . 2009-12-04 10:56 79488 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-03 15:21 . 2009-12-03 15:21 -------- d-----w- c:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Apple_Inc
2009-12-03 10:35 . 2009-12-03 10:35 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-12-03 10:34 . 2009-12-03 10:34 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google
2009-12-03 10:33 . 2009-12-03 10:33 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2009-12-03 10:33 . 2009-12-08 06:39 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\TSVNCache
2009-11-25 09:11 . 2009-11-25 09:21 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Trillian
2009-11-25 09:10 . 2009-12-02 17:56 -------- d-----w- c:\programme\Trillian
2009-11-23 07:28 . 2009-11-23 07:28 -------- d-----w- c:\programme\PCSuitev2.2.0.181
2009-11-20 11:24 . 2009-11-20 11:24 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\System Restore
2009-11-16 11:17 . 2009-11-16 11:17 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-11-16 11:16 . 2009-11-16 11:16 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2009-11-15 13:57 . 2009-11-15 13:57 -------- d-----w- c:\dokumente und einstellungen\Home\Anwendungsdaten\KeePass
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-11 11:49 . 2008-02-06 15:48 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-12-11 11:37 . 2009-04-20 10:32 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\nView_Wallpaper
2009-12-11 11:36 . 2008-02-07 20:28 -------- d-----w- c:\programme\Norman
2009-12-11 11:35 . 2008-06-08 18:12 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-12-11 09:29 . 2008-12-21 15:16 1 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-11 08:24 . 2009-09-23 10:08 -------- d-----w- c:\programme\eclipse_3_5_0
2009-12-09 20:04 . 2009-10-08 15:41 -------- d-----w- c:\programme\StarMoney 7.0
2009-12-09 11:06 . 2008-01-29 08:35 86620 ----a-w- c:\windows\system32\perfc007.dat
2009-12-09 11:06 . 2008-01-29 08:35 464742 ----a-w- c:\windows\system32\perfh007.dat
2009-12-09 09:03 . 2009-10-08 15:44 37 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\StarMoney 7.0\profil\sfmsm.dll
2009-12-08 17:33 . 2009-09-22 14:51 1504496 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-12-08 15:54 . 2008-08-05 10:11 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\FileZilla
2009-12-08 12:55 . 2008-06-26 11:25 83116 ---ha-w- c:\windows\system32\mlfcache.dat
2009-12-08 11:00 . 2009-09-07 12:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJ
2009-12-08 10:56 . 2009-09-07 12:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2009-12-08 09:08 . 2008-04-28 05:52 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\WEB.DE
2009-12-07 09:07 . 2008-01-29 09:58 -------- d-----w- c:\programme\Realtek
2009-12-06 22:14 . 2008-01-29 08:48 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-06 12:54 . 2009-07-16 15:54 -------- d-----w- c:\programme\FRITZ!Fernzugang
2009-12-06 12:54 . 2009-07-16 15:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVM
2009-12-06 12:54 . 2008-12-30 17:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-12-04 15:18 . 2008-01-29 09:18 99000 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-04 13:49 . 2008-01-29 08:46 23588 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-04 13:49 . 2009-12-04 13:49 1691 ----a-w- c:\windows\inf\COM131.tmp
2009-12-04 10:59 . 2008-03-03 21:09 -------- d-----w- c:\programme\Java
2009-12-03 16:15 . 2008-01-29 08:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-03 15:33 . 2008-11-20 16:50 -------- d-----w- c:\programme\Bonjour
2009-12-03 15:30 . 2008-03-07 17:06 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-12-03 15:18 . 2008-04-26 10:58 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\phonostar-Player
2009-12-03 11:49 . 2008-03-03 20:48 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Skype
2009-12-03 09:25 . 2008-01-29 10:14 376832 ----a-w- c:\windows\system32\AegisI5Installer.exe
2009-12-03 09:08 . 2008-12-30 17:58 -------- d-----w- c:\programme\TuneUp Utilities 2008
2009-12-02 17:55 . 2008-03-03 20:50 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\skypePM
2009-11-23 18:12 . 2009-06-27 08:01 1 ----a-w- c:\dokumente und einstellungen\Home\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-10 11:52 . 2009-11-10 11:52 -------- d-----w- c:\programme\Microsoft Visual Studio 8
2009-11-10 11:52 . 2009-11-10 11:52 -------- d-----w- c:\programme\Microsoft
2009-11-10 11:52 . 2008-04-25 09:22 -------- d-----w- c:\programme\Common Files
2009-11-10 11:13 . 2008-05-14 14:15 -------- d-----w- c:\programme\IMAPSize
2009-11-04 08:37 . 2008-07-28 05:25 -------- d-----w- c:\programme\iTunes
2009-11-04 08:36 . 2009-11-04 08:36 -------- d-----w- c:\programme\iPod
2009-11-04 08:30 . 2009-11-04 08:30 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-10-30 12:51 . 2008-06-13 12:59 -------- d-----w- c:\windows\Fonts\ATMFolder
2009-10-29 07:40 . 2007-10-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-26 14:15 . 2009-10-26 14:04 -------- d-----w- c:\programme\TMPGEnc-2.525.64.184-EN-Free
2009-10-26 07:52 . 2008-12-21 13:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\STAMPIT
2009-10-21 05:38 . 2007-10-29 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2007-10-29 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2007-10-29 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-20 11:25 . 2009-10-20 11:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-10-20 11:25 . 2009-02-14 11:24 -------- d-----r- c:\programme\Skype
2009-10-20 11:25 . 2008-03-03 20:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-10-19 10:58 . 2009-10-19 10:58 -------- d-----w- c:\programme\FileZilla FTP Client
2009-10-14 14:36 . 2009-10-14 14:36 -------- d-----w- c:\dokumente und einstellungen\Home\Anwendungsdaten\Vodafone
2009-10-14 08:03 . 2009-10-14 08:03 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\FLEXnet
2009-10-14 07:47 . 2009-10-14 07:47 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Vodafone
2009-10-14 07:47 . 2009-10-14 07:47 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Vodafone
2009-10-14 07:47 . 2009-10-14 07:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vodafone
2009-10-14 07:47 . 2009-10-14 07:47 -------- d-----w- c:\programme\Vodafone
2009-10-14 07:47 . 2008-12-30 14:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-10-13 10:32 . 2007-10-29 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2007-10-29 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2007-10-29 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-12 12:42 . 2009-09-22 05:14 -------- d-----w- c:\programme\DreamBoxEdit
2009-10-12 12:42 . 2009-10-12 12:42 -------- d-----w- c:\programme\phonostar-Player
2009-10-12 12:42 . 2009-10-12 12:42 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\phonostar GmbH
2009-10-11 03:17 . 2009-01-19 10:40 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-08 15:36 . 2009-10-08 06:04 361 ----a-w- c:\dokumente und einstellungen\*****\login_printer.bat
2009-10-08 09:31 . 2009-11-04 09:19 3204096 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3frvhv88.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\SSS.dll
2009-10-08 06:34 . 2009-07-22 10:15 440 ----a-w- c:\dokumente und einstellungen\*****\login_netdrive.bat
2009-10-07 17:06 . 2009-11-04 09:19 106496 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3frvhv88.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\FSAddin.dll
2009-10-07 13:52 . 2009-10-12 12:42 1312256 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\phonostar GmbH\phonostar-Player\skins\phonostarSkin.dll
2009-10-07 12:20 . 2008-02-07 20:28 44872 ----a-w- c:\windows\system32\drivers\ale_nf.sys
2009-10-06 12:33 . 2009-10-06 12:33 1249280 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Mikogo\SessionPlayer.exe
2009-10-06 12:33 . 2009-09-08 13:12 2748416 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Mikogo\Mikogo-Host.exe
2009-10-06 12:33 . 2009-09-08 13:12 144688 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Mikogo\remover.exe
2009-10-06 12:31 . 2009-10-06 12:31 24576 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Mikogo\B-Capture.exe
2009-10-06 12:31 . 2009-10-06 12:31 185640 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Mikogo\B-Service.exe
2009-09-29 06:53 . 2008-07-28 16:24 2628303 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\phonostar-Player\update2.exe
2009-09-29 06:53 . 2008-07-28 16:24 45056 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\phonostar-Player\update.exe
2009-09-23 20:29 . 2009-11-04 09:19 28672 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3frvhv88.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll
2009-09-23 09:24 . 2009-09-23 09:02 152576 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll
2009-09-21 07:51 . 2009-09-21 07:52 101248 ----a-w- c:\windows\system32\drivers\avmaura.sys
2009-09-18 15:38 . 2009-09-15 15:18 548864 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Mikogo\NewVer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\*****\Lokale Einstellungen\Apps\2.0\MMBEGP27.Q2G\5Y0XAWDH.EYK\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf169ed5c0c1\AVMAutoStart.exe" [2009-12-07 139264]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-06-16 794713]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-22 8433664]
"Keyboard Manager Utility"="c:\programme\Keyboard Manager\Manager Utility\KeyboardManager.exe" [2007-08-02 4128768]
"nwiz"="nwiz.exe" [2007-05-22 1626112]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Norman ZANDA"="c:\programme\Norman\Npm\Bin\ZLH.EXE" [2009-10-07 189824]
"NPCTray"="c:\programme\Norman\npc\bin\npc_tray.exe" [2009-10-07 128328]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 16126464]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Home\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 setuid
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"KeePass Password Safe 2"="c:\programme\KeePass Password Safe\KeePass.exe"
"ISUSPM"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
"Mikogo"="c:\dokumente und einstellungen\*****\Anwendungsdaten\Mikogo\Mikogo-Host.exe"
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"LanguageShortcut"=c:\programme\CyberLink\PowerDVD\Language\Language.exe
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe
"RTHDCPL"=RTHDCPL.EXE
"Alcmtr"=ALCMTR.EXE
"CanonMyPrinter"=c:\programme\Canon\MyPrinter\BJMyPrt.exe /logon
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"SAFE2008 HotKeys"="c:\programme\Steganos Safe 2008\SteganosHotKeyService.exe"
"SAFE2008 File Redirection Starter"="c:\programme\Steganos Safe 2008\fredirstarter.exe"
"SMSERIAL"=c:\programme\Motorola\SMSERIAL\sm56hlpr.exe
"MobileConnect"=%programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"Windows Defender"="c:\programme\Windows Defender\MSASCui.exe" -hide
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\*****\\Lokale Einstellungen\\Apps\\2.0\\MMBEGP27.Q2G\\5Y0XAWDH.EYK\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf169ed5c0c1\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\StarMoney 7.0\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 7.0\\app\\StarMoney.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
P2 NPFSvc32;Norman Personal Firewall Service;c:\programme\Norman\Npf\Bin\npfsvc32.exe [06.12.2009 19:36 599424]
R0 NDIS_RD;Norman Firewall NDIS driver;c:\windows\system32\drivers\ndis_rd.sys [06.12.2009 19:36 82072]
R1 NGS;Norman General Security Driver;c:\programme\Norman\Ngs\Bin\ngs.sys [06.12.2009 19:36 25032]
R1 NPROSEC;Norman Security driver;c:\programme\Norman\Ngs\Bin\nprosec.sys [06.12.2009 19:36 56136]
R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];c:\windows\system32\drivers\sleen16.sys [11.10.2007 11:24 79104]
R1 TDI_RD;Norman Firewall TDI driver;c:\windows\system32\drivers\tdi_rd.sys [06.12.2009 19:36 76944]
R2 Ndiskio;Ndiskio;c:\programme\Norman\Nse\Bin\Ndiskio.sys [06.12.2009 19:37 24168]
R2 NPROSECSVC;Norman Security service;c:\programme\Norman\Ngs\Bin\nprosec.exe [06.12.2009 19:36 124232]
R2 NVOY;Norman Resource Provider;c:\programme\Norman\Npm\Bin\nvoy.exe [06.12.2009 19:37 128328]
R2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [08.10.2009 16:46 528904]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [20.04.2009 16:20 9216]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [21.09.2009 08:52 101248]
R3 NPC;Norman Parental Control;c:\programme\Norman\Npc\Bin\npcsvc32.exe [06.12.2009 19:37 419200]
R3 nsesvc;Norman Scanner Engine Service;c:\programme\Norman\Nse\Bin\Nsesvc.exe [10.12.2009 19:56 283976]
R3 NUAA;Norman User Activity Agent;c:\programme\Norman\Npc\Bin\nuaa.exe [06.12.2009 19:37 124232]
R3 NvcMFlt;NvcMFlt;c:\windows\system32\drivers\nvcw32mf.sys [06.12.2009 19:36 21832]
R3 nvcoas;Norman Virus Control on-access component;c:\programme\Norman\nvc\bin\Nvcoas.exe [06.12.2009 19:36 197960]
R3 Scheduler;Norman Scheduler Service;c:\programme\Norman\Npm\Bin\scheduler.exe [06.12.2009 19:37 132424]
S3 B-Service;B-Service;c:\dokumente und einstellungen\*****\Anwendungsdaten\Mikogo\B-Service.exe [06.10.2009 13:31 185640]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [29.01.2008 09:21 36608]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [14.10.2009 08:47 7680]
S3 play1.bat;play1.bat;c:\windows\system32\drivers\play1.bat.sys [06.12.2009 16:23 34816]
S3 play1;play1;\??\c:\windows\system32\drivers\play1.sys --> c:\windows\system32\drivers\play1.sys [?]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [29.10.2008 13:58 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [29.10.2008 13:58 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [29.10.2008 13:58 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [29.10.2008 13:59 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [29.10.2008 13:59 98568]
S3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [28.04.2008 09:13 26624]
S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [14.10.2009 08:48 110592]
S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\zteusbvoice.sys [14.10.2009 08:48 105344]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - mchInjDrv
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\programme\Norman\npc\bin\nlf.dll
FF - ProfilePath - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3frvhv88.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - component: c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3frvhv88.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll
FF - component: c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3frvhv88.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}\components\nstidy.dll
FF - component: c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3frvhv88.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
FF - component: c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\3frvhv88.default\extensions\firetorrent@radicalsoft.com\components\firetorrent.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
.
------- Dateityp-Verknüpfung -------
.
txtfile="%WinDir%\NOTEPAD.EXE" %1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
AddRemove-WEB.DE MultiMessenger - c:\programme\WEB.DE\WEB.DE MultiMessenger\uninst.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-12-11 13:25
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'lsass.exe'(780)
c:\windows\system32\setuid.dll
.
Zeit der Fertigstellung: 2009-12-11 13:27:56
ComboFix-quarantined-files.txt 2009-12-11 12:27
Vor Suchlauf: 14 Verzeichnis(se), 78.172.700.672 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 81.068.261.376 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /tutag=ft9045 /NoExecute=OptIn
- - End Of File - - FBBE81DFD5B0161ABA47DC7669EFF558
ThxGodIsFriday |
|
12.12.2009, 14:22
| #13 |
| | Trojaner W32/Kates.G Hi, hast Du mal Smithfraufix laufen lassen? Subversion, SW-Entwicklung? Du hast einige seltsame Sachen drauf, die ich aber nicht als Malware identifizieren kann... Die Setuid.dll bei virustotal.com mal prüfen lassen, sollte aber unkritisch sein... (c:\windows\system32\setuid.dll)... Wie verhält sich der Rechner? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Trojaner W32/Kates.G |
| anti-malware, center, code, echtzeit-scanner, einstellungen, erkannt, falsch, file, firefox, frage, gen, google, infected, installations cd, malwarebytes, malwarebytes' anti-malware, neu, nicht mehr, norman, problem, security, software, suchergebnisse, system, temp, trojaner, weitergeleitet, windows |
Linear-Darstellung
