|
Plagegeister aller Art und deren Bekämpfung: rootkit.mbr durch HJT entdeckt, was nun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.01.2010, 11:58 | #1 |
| rootkit.mbr durch HJT entdeckt, was nun? Hallo liebe Community. Ich poste für einen Freund, da er starke Probleme beim surfen hat. Beim surfen von Youtube, hängt sich der PC komplett auf. Im Task Manager hat der Prozess Webproxy.exe beim Absturz des Browsers(welcher dann nur durch einen Neustart behoben werden kann) den Arbeitsspeicher stark beansprucht. Durch die Suche bei Google, haben wir herausgefunden, dass Webproxy.exe wohl zu Panda-Antivirus-Pro gehört, welches er auch nutzt. Soweit so gut. Ich habe ihm dieses Forum empfohlen, da mir hier auch schon geholfen wurde. Wir sind Schritt für Schritt alle Punkte durchgegangen und auf seinem Pc wurden durch MWB 32 infizierte Objekte gefunden. Hierbei handelt es sich ausschließlich um "rootkit.mbr" welche im System Volume Information Ordner gefunden wurden. Natürlich haben wir vorher Antivirus-Programme scannen lassen, leider ohne Erfolg. Nun stehen wir vor dem Problem, diese Fehler zu beheben. Ich hoffe man kann uns hier helfen. Hier einmal die logfiles: Code:
ATTFilter Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3515 Windows 5.1.2600 Service Pack 3, v.5857 Internet Explorer 8.0.6001.18702 08.01.2010 11:01:26 mbam-log-2010-01-08 (11-01-26).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 200553 Laufzeit: 26 minute(s), 28 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 32 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0024790.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0024792.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0025066.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0025068.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0026064.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0026066.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0027064.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0027066.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0028064.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0028066.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0029064.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0029066.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0030064.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0030066.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0031066.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0031064.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0032066.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0032068.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0034065.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP183\A0034067.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0036236.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0036238.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0036753.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0037087.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0037555.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0038561.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0038565.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0037560.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0040561.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0040565.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0041561.dll (Rootkit.MBR) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{39919627-0884-4B21-89E4-ABACBF25BE86}\RP184\A0041565.dll (Rootkit.MBR) -> Quarantined and deleted successfully. Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2010-01-08 11:18:12 ======Uninstall list====== -->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL -->C:\WINDOWS\UNNeroVision.exe /UNINSTALL -->MsiExec /X{DD1865F0-AD73-40FB-B23E-1822E02396FF} -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001} Advanced SystemCare 3-->"C:\Programme\IObit\Advanced SystemCare 3\unins000.exe" CCleaner-->"C:\Programme\CCleaner\uninst.exe" CDDRV_Installer-->MsiExec.exe /I{0C826C5B-B131-423A-A229-C71B3CACCD6A} Curse Client-->C:\Programme\Curse\uninstall.exe DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN eMule-->"k:\Programme2\eMule\Uninstall.exe" EXPERTool 6.4-->"C:\Programme\EXPERTool\unins000.exe" Game Booster-->"C:\Programme\IObit\Game Booster\unins000.exe" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} KhalInstallWrapper-->MsiExec.exe /I{3101CB58-3482-4D21-AF1A-7057FC935355} Labtec WebCam-->MsiExec.exe /I{58E653BE-BD68-4D68-BB2E-3AE1B925AAD0} Labtec® WebCam-Treiber-->"C:\Programme\Gemeinsame Dateien\Labtec\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT Logitech GamePanel Software 2.00-->MsiExec.exe /X{948BE614-F37B-4A73-AD43-0245F23C110D} Logitech Registration-->MsiExec.exe /I{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C} Logitech SetPoint-->"C:\Programme\InstallShield Installation Information\{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}\setup.exe" -runfromtemp -l0x0007 -removeonly Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Marvell Miniport Driver-->MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B} Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe" Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7} Mozilla Firefox (3.0.12)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} Nero Suite-->C:\Programme\Gemeinsame Dateien\Ahead\Uninstall\Setup.exe /uninstall NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI NVIDIA PhysX-->MsiExec.exe /X{DD1865F0-AD73-40FB-B23E-1822E02396FF} Panda Antivirus Pro 2010-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E55FB276-73C9-4776-AB53-BC028C0509ED}\SETUP.exe" -l0x7 -removeonly Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe Trojan Remover 6.8.1-->"C:\Programme\Trojan Remover\unins000.exe" TuneUp Utilities 2007-->MsiExec.exe /I{C8BB4912-12D9-42AE-B571-E580D8CD1B5B} Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update für Windows Internet Explorer 8 (KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe" Update für Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe" Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F} Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe" Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe" Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe ======Security center information====== AV: Panda Antivirus Pro 2010 ======System event log====== Computer Name: *** Event Code: 7036 Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt". Record Number: 3936 Source Name: Service Control Manager Time Written: 20091211222329.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet". Record Number: 3935 Source Name: Service Control Manager Time Written: 20091211222324.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet. Record Number: 3934 Source Name: Service Control Manager Time Written: 20091211222324.000000+060 Event Type: Informationen User: NT-AUTORITÄT\LOKALER DIENST Computer Name: *** Event Code: 7036 Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt". Record Number: 3933 Source Name: Service Control Manager Time Written: 20091211222324.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt". Record Number: 3932 Source Name: Service Control Manager Time Written: 20091211222323.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: *** Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 395 Source Name: SecurityCenter Time Written: 20091013135218.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 0 Message: Record Number: 394 Source Name: gupdate1c9d5c6d5d0737e Time Written: 20091013135155.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 11728 Message: Produkt: Adobe Reader 9.1.3 - Deutsch -- Configuration completed successfully. Record Number: 393 Source Name: MsiInstaller Time Written: 20091012235401.000000+120 Event Type: Informationen User: EYT\Jayt Computer Name: *** Event Code: 1022 Message: Produkt: Adobe Reader 9.1.3 - Deutsch - Update "Adobe Reader 9.1.3 - CPSID_49522" wurde installiert. Record Number: 392 Source Name: MsiInstaller Time Written: 20091012235401.000000+120 Event Type: Informationen User: ***\*** Computer Name: *** Event Code: 11707 Message: Produkt: Adobe Reader 9.1 - Deutsch -- Installationsvorgang erfolgreich abgeschlossen. Record Number: 391 Source Name: MsiInstaller Time Written: 20091012231615.000000+120 Event Type: Informationen User: ***\*** ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\DivX Shared\;C:\Programme\Panda Security\Panda Antivirus Pro 2010\ "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel "PROCESSOR_REVISION"=0f0b "NUMBER_OF_PROCESSORS"=4 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2010-01-08 11:23:05 Microsoft Windows XP Professional Service Pack 3, v.5857 System drive C: has 68 GB (68%) free of 100 GB Total RAM: 3326 MB (88% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:23:07, on 08.01.2010 Platform: Windows XP SP3, v.5857 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Panda Security\Panda Antivirus Pro 2010\TPSrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Panda Security\Panda Antivirus Pro 2010\PsCtrls.exe C:\Programme\Panda Security\Panda Antivirus Pro 2010\PavFnSvr.exe C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe C:\Programme\Panda Security\Panda Antivirus Pro 2010\PsImSvc.exe C:\Programme\Panda Security\Panda Antivirus Pro 2010\PskSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Panda Security\Panda Antivirus Pro 2010\pavsrv51.exe C:\Programme\Panda Security\Panda Antivirus Pro 2010\AVENGINE.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\Panda Security\Panda Antivirus Pro 2010\WebProxy.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\Jayt\Desktop\RSIT.exe C:\Programme\trend micro\Jayt.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Antivirus Pro 2010\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Antivirus Pro 2010\Inicio.exe" O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programme\IObit\Advanced SystemCare 3\AWC.exe" /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SmartRAM] "C:\Programme\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe" /m O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Programme\Panda Security\Panda Antivirus Pro 2010\PsCtrls.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Antivirus Pro 2010\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Antivirus Pro 2010\pavsrv51.exe O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Programme\Panda Security\Panda Antivirus Pro 2010\PsImSvc.exe O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Antivirus Pro 2010\PskSvc.exe O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Antivirus Pro 2010\TPSrv.exe -- End of file - 5721 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\1-Klick-Wartung.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-04-30 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-04-30 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-01-30 16116224] "Kernel and Hardware Abstraction Layer"=C:\WINDOWS\KHALMNPR.EXE [2008-12-18 76304] "Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-03-27 13684736] "APVXDWIN"=C:\Programme\Panda Security\Panda Antivirus Pro 2010\APVXDWIN.EXE [2009-09-25 906496] "SCANINICIO"=C:\Programme\Panda Security\Panda Antivirus Pro 2010\Inicio.exe [2009-08-12 56064] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Advanced SystemCare 3"=C:\Programme\IObit\Advanced SystemCare 3\AWC.exe [2009-11-20 2335880] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "SmartRAM"=C:\Programme\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe [2009-02-19 202064] "ICQ"=C:\Programme\ICQ6.5\ICQ.exe [2009-11-16 172792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent] bthprops.cpl,,BluetoothAuthenticationAgent [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CurseClient] C:\Programme\Curse\CurseClient.exe [2009-07-31 1935360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LCDMon] C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe [2007-07-18 1687824] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LGDCore] C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe [2007-07-18 2094352] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe [2004-02-12 188416] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe [2004-02-12 77824] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 "napagent"=3 "JavaQuickStarterService"=2 "idsvc"=3 "FontCache3.0.0.0"=3 "EapHost"=3 "Dot3svc"=3 "COMSysApp"=3 "clr_optimization_v2.0.50727_32"=3 "CiSvc"=3 "Browser"=2 "BITS"=3 "aspnet_state"=3 "AppMgmt"=3 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avldr] C:\WINDOWS\system32\avldr.dll [2008-03-18 58672] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LBTWlgn] c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll [2009-02-18 72208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WdfLoadGroup] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= "NoResolveSearch"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen" "C:\Programme\Curse\CurseClient.exe"="C:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client" "C:\Programme\World of Warcraft\Launcher.exe"="C:\Programme\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher" "C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "K:\Programme\Emule\eMule0.49b\emule.exe"="K:\Programme\Emule\eMule0.49b\emule.exe:*:Enabled:eMule" "K:\Programme2\eMule\emule.exe"="K:\Programme2\eMule\emule.exe:*:Enabled:eMule" "C:\Programme\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"="C:\Programme\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe:*:Enabled:Blizzard Downloader" "C:\Programme\Ventrilo\Ventrilo.exe"="C:\Programme\Ventrilo\Ventrilo.exe:*:Enabled:Ventrilo.exe" "C:\Programme\World of Warcraft\BackgroundDownloader.exe"="C:\Programme\World of Warcraft\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L] shell\AutoRun\command - L:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4eab3287-34d2-11de-8ce2-0009dd2198e7}] shell\AutoRun\command - K:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4eab3288-34d2-11de-8ce2-0009dd2198e7}] shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe R.vbs ======List of files/folders created in the last 1 months====== 2010-01-08 11:17:59 ----D---- C:\Programme\trend micro 2010-01-08 11:17:58 ----D---- C:\rsit 2010-01-08 10:26:12 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2010-01-08 10:26:04 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-01-08 10:26:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-08 10:16:49 ----D---- C:\Programme\CCleaner 2009-12-25 15:09:13 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panda Software 2009-12-13 06:15:31 ----D---- C:\Panda Software 2009-12-13 04:56:04 ----A---- C:\WINDOWS\system32\TpUtil.dll 2009-12-13 04:56:04 ----A---- C:\WINDOWS\system32\SYSTOOLS.DLL 2009-12-13 04:56:04 ----A---- C:\WINDOWS\system32\PavLspHook.dll 2009-12-13 04:56:04 ----A---- C:\WINDOWS\system32\pavipc.dll 2009-12-13 04:56:03 ----A---- C:\WINDOWS\system32\PavSHook.dll 2009-12-13 04:56:01 ----D---- C:\WINDOWS\system32\PAV 2009-12-13 04:56:01 ----A---- C:\WINDOWS\system32\avldr.dll 2009-12-13 04:55:59 ----D---- C:\Programme\Panda Security 2009-12-13 04:34:19 ----A---- C:\WINDOWS\system32\HHActiveX.dll 2009-12-13 04:34:13 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Panda Security 2009-12-13 04:34:13 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panda Security 2009-12-13 04:31:56 ----D---- C:\Programme\Gemeinsame Dateien\Panda Security 2009-12-11 21:14:43 ----D---- C:\WINDOWS\pss 2009-12-10 15:18:13 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2009-12-10 15:15:38 ----A---- C:\WINDOWS\system32\ztvunrar36.dll 2009-12-10 15:15:38 ----A---- C:\WINDOWS\system32\ztvunace26.dll 2009-12-10 15:15:38 ----A---- C:\WINDOWS\system32\ztvcabinet.dll 2009-12-10 15:15:38 ----A---- C:\WINDOWS\system32\UNRAR3.dll 2009-12-10 15:15:38 ----A---- C:\WINDOWS\system32\unacev2.dll 2009-12-10 15:15:37 ----D---- C:\Programme\Trojan Remover 2009-12-10 15:15:37 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Simply Super Software 2009-12-10 15:15:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software 2009-12-10 01:43:48 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$ 2009-12-10 01:43:44 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$ 2009-12-10 01:43:22 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$ 2009-12-10 01:43:18 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$ 2009-12-10 01:43:13 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$ ======List of files/folders modified in the last 1 months====== 2010-01-08 11:19:20 ----D---- C:\WINDOWS\Temp 2010-01-08 11:17:59 ----RD---- C:\Programme 2010-01-08 11:13:51 ----D---- C:\Programme\Mozilla Firefox 2010-01-08 11:09:28 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-08 11:09:23 ----D---- C:\WINDOWS\system32\drivers 2010-01-08 11:08:41 ----D---- C:\WINDOWS\system32 2010-01-08 11:08:39 ----D---- C:\WINDOWS 2010-01-08 11:07:33 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-01-08 10:31:37 ----SHD---- C:\WINDOWS\Installer 2010-01-08 10:29:20 ----D---- C:\WINDOWS\Prefetch 2010-01-07 22:35:32 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ 2010-01-02 21:06:07 ----A---- C:\WINDOWS\NeroDigital.ini 2009-12-29 04:02:43 ----D---- C:\Programme\ICQ6.5 2009-12-17 10:43:38 ----D---- C:\Dokumente und Einstellungen\Jayt\Anwendungsdaten\teamspeak2 2009-12-16 07:50:17 ----D---- C:\WINDOWS\Debug 2009-12-13 05:50:53 ----D---- C:\Programme\TuneUp Utilities 2007 2009-12-13 05:05:49 ----D---- C:\Programme\Windows Media Connect 2 2009-12-13 04:58:59 ----A---- C:\WINDOWS\win.ini 2009-12-13 04:43:27 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-12-13 04:39:48 ----HD---- C:\WINDOWS\inf 2009-12-13 04:34:13 ----HD---- C:\Programme\InstallShield Installation Information 2009-12-13 04:31:56 ----D---- C:\Programme\Gemeinsame Dateien 2009-12-13 04:19:23 ----SD---- C:\Dokumente und Einstellungen\Jayt\Anwendungsdaten\Microsoft 2009-12-11 21:18:11 ----SH---- C:\boot.ini 2009-12-11 21:18:11 ----A---- C:\WINDOWS\system.ini 2009-12-11 20:46:26 ----D---- C:\Dokumente und Einstellungen 2009-12-10 01:43:50 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-12-10 01:43:39 ----D---- C:\Programme\Internet Explorer 2009-12-10 01:43:27 ----HD---- C:\WINDOWS\$hf_mig$ 2009-12-09 19:39:23 ----D---- C:\Programme\World of Warcraft ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 ShldDrv;Panda File Shield Driver; C:\WINDOWS\System32\DRIVERS\ShlDrv51.sys [2008-03-04 41144] R2 PAVDRV;pavdrv; C:\WINDOWS\system32\DRIVERS\pavdrv51.sys [2008-04-28 84024] R2 PavProc;Panda Process Protection Driver; \??\C:\WINDOWS\system32\DRIVERS\PavProc.sys [] R2 TBPanel;TBPanel; C:\WINDOWS\system32\drivers\TBPanel.sys [2007-03-16 12256] R3 AvFlt;Antivirus Filter Driver; C:\WINDOWS\system32\drivers\av5flt.sys [] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2007-11-30 10368] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-01-30 4474368] R3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys [2008-12-18 35472] R3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys [2008-12-18 37392] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-03-27 6280416] R3 PavSRK.sys;PavSRK.sys; \??\C:\WINDOWS\system32\PavSRK.sys [] R3 PavTPK.sys;PavTPK.sys; \??\C:\WINDOWS\system32\PavTPK.sys [] R3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2007-11-30 60032] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2007-11-30 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2007-11-30 59520] R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2007-11-30 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608] R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000] R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-11-22 250496] S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-14 17024] S3 BTHMODEM;Bluetooth-Modemkommunikationstreiber; C:\WINDOWS\system32\DRIVERS\bthmodem.sys [2007-11-30 37888] S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-14 101120] S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024] S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2007-11-30 18944] S3 Cardex;Cardex; \??\C:\WINDOWS\system32\drivers\TBPANEL.SYS [] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2007-11-30 17024] S3 HidBth;Microsoft Bluetooth-HID-Miniport; C:\WINDOWS\system32\DRIVERS\hidbth.sys [2007-12-01 25856] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2007-11-30 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2007-11-30 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2007-11-30 10880] S3 pepifilter;Volume Adapter; C:\WINDOWS\system32\DRIVERS\lv302af.sys [2004-01-21 5915] S3 PID_08A0;Labtec WebCam Pro(PID_08A0); C:\WINDOWS\system32\DRIVERS\LV302AV.SYS [2004-01-21 271360] S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-14 59136] S3 RkPavproc1;RkPavproc1; \??\C:\WINDOWS\system32\drivers\RkPavproc1.sys [] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2007-11-30 11136] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2007-11-30 15232] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2007-11-30 19200] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 Gwmsrv;Panda Goodware Cache Manager; C:\WINDOWS\system32\svchost -k Panda [] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-03-27 163908] R2 Panda Software Controller;Panda Software Controller; C:\Programme\Panda Security\Panda Antivirus Pro 2010\PsCtrls.exe [2009-08-10 173312] R2 PAVFNSVR;Panda Function Service; C:\Programme\Panda Security\Panda Antivirus Pro 2010\PavFnSvr.exe [2009-08-10 169216] R2 PavPrSrv;Panda Process Protection Service; C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe [2008-02-04 62768] R2 PAVSRV;Panda On-Access Anti-Malware Service; C:\Programme\Panda Security\Panda Antivirus Pro 2010\pavsrv51.exe [2009-09-17 291584] R2 PSIMSVC;Panda IManager Service; C:\Programme\Panda Security\Panda Antivirus Pro 2010\PsImSvc.exe [2008-06-19 108288] R2 PskSvcRetail;Panda PSK service; C:\Programme\Panda Security\Panda Antivirus Pro 2010\PskSvc.exe [2009-08-25 28928] R2 TPSrv;Panda TPSrv; C:\Programme\Panda Security\Panda Antivirus Pro 2010\TPSrv.exe [2009-04-17 157440] R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S3 LBTServ;Logitech Bluetooth Service; C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe [2009-02-18 121360] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S4 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S4 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S4 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-04-30 152984] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] S4 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] -----------------EOF----------------- Hoffe ich habe alles beachtet, und jede Private Information herausgenommen. Falls dies nicht der Fall sein sollte bitte ich um Verzeihung und hoffe, dass uns dennoch geholfen werden kann. Ich weiß ihr seid spitze Mfg Dethard |
10.01.2010, 13:39 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | rootkit.mbr durch HJT entdeckt, was nun? Hallo,
__________________Lade dir Lop S&D herunter. Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus. Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!! Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________ |
10.01.2010, 17:56 | #3 |
| rootkit.mbr durch HJT entdeckt, was nun? Mein Kumpel hat die komplette platte formatiert, da nichts mehr ging.
__________________Danke dennoch für die Antwort, und damit ist das Thema erstmal erledigt. Vielen Dank nochmal und hoffentlich bleibt er diesmal sauber mfG Dethard |
Themen zu rootkit.mbr durch HJT entdeckt, was nun? |
.com, absturz, bho, c:\windows\system32\rundll32.exe, desktop, einstellungen, explorer, fehler, firefox, firefox.exe, flash player, fontcache, google, gupdate, hijackthis, hkus\s-1-5-18, infizierte, installation, iobit, malwarebytes' anti-malware, msiexec, msiexec.exe, plug-in, prozess, registrierungsschlüssel, registry, rootkit.mbr, rundll, scan, schannel.dll, security, shell32.dll, software, starten, super, system, systemcare, updates, windows internet, windows internet explorer, windows xp, windows-sicherheitscenterdienst, wscript.exe |