| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.01.2010, 18:01
| #1 |
 |  Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Hallo, Ich muss zuerst anmerken, dass ich im Bereich Sicherheit nicht sehr bewandert bin. Bisher dachte ich, dass ein kostenloser Antivirus reicht und man ist geschützt, solange man keine .exe's öffnet oder ähnliches. Doch dann habe ich mal zur Probe die Demoversion von Kasperksy runtergeladen und er fand doch einige Schädlinge, die der Antivir(Free) nicht finden konnte. Seit dem bin ich etwas paranoid und ich hab seit kurzem das Gefühl, dass ein Schädling sich auf meinem PC rumtreibt. Momentan benutze ich Avast! in der Freeware Fassung, weil mir gesagt wurde, das er ganz zuverlässig ist. Er hat schon einige Schädlinge bemerkt und erfolgreich gelöscht. Gestern aber kamen, ohne dass ich vorher auf gefährlichen Seiten gesurft habe, mehrere Meldungen die mit einem Klick auf "Löschen" im Pop-Up von Avast nicht weggingen. Im Hintergrund kam plötzlich ein Installscreen irgendeines Programms, ich weiß jedoch nicht welches, da ich sofort in meiner Panik den Stecker gezogen habe. Ich surfte(leider) mit einem Adminkonto. So neustart- PC startet nach dem Windows Bootscreen von neu. Hab dann alle Modi die Windows vor dem booten anbietet ausprobiert und komischerweise funktionierte nichts außer dem Debugmodus. Hab dann Windows gestartet, diesmal mit einem eingeschränktem Benutzerkonto und Avast einen Komplettscan machen lassen. Er fand den Win32:Trojan-gen sshnas.dll, den ich sofort in den Container steckte, wo er immernoch verweilt. Sonst ergab der Scan, dass 4000 Dateien nicht geprüft werden können. Ich wollte den Log speichern hab aber nirgendwo eine Option dafür gefunden. So dann wieder neustart und das Problem besteht weiterhin. Malwarebytes fand nur einen Schädlichen Registry Eintrag "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel" und vorderte den PC neuzustarten. Hab das auch getan und plötzlich lädt Windows explorer nicht, also der Bildschirm bleibt hellblau und man sieht den Zeiger mit der Sanduhr. Wenn ich den explorer im Taskmanager ausführe läuft alles wieder, nur die Sanduhr klebt weiterhin am Zeiger. So. Nun frage ich mich, wo das Problem liegt und wieso Avast 4000 Dateien nicht überprüfen kann. Unten ist der RSIT log. Wie gesagt kenne ich mich nicht sehr gut aus und falls ich vergessen habe etwas zu erwähnen dann wäre es nett wenn ihr es mir sagen würdet  Dankeschön im Vorraus Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by Administrator at 2010-01-11 17:29:36 Microsoft Windows XP Professional Service Pack 3 System drive C: has 255 MB (1%) free of 38 GB Total RAM: 3317 MB (81% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:29:37, on 11.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS.1\System32\smss.exe C:\WINDOWS.1\system32\winlogon.exe C:\WINDOWS.1\system32\services.exe C:\WINDOWS.1\system32\lsass.exe C:\WINDOWS.1\system32\svchost.exe C:\WINDOWS.1\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS.1\system32\spoolsv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\OO Software\CleverCache\ooccag.exe C:\Programme\Sandboxie\SbieSvc.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS.1\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Dokumente und Einstellungen\Mark\Eigene Dateien\Downloads\RSIT.exe C:\Programme\Trend Micro\HijackThis\Administrator.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.1\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.1\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS.1\system32\igfxpers.exe O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 5.2\THGuard.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ooccctrl.exe] C:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.1\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide O4 - HKCU\..\Run: [Mal Updater 2] C:\Programme\Mal Updater 2\MalUpdater.exe O4 - HKCU\..\Run: [uTorrent] "C:\Programme\uTorrent\uTorrent.exe" O4 - HKCU\..\Run: [TopDesk] C:\Programme\TopDesk\topdesk.exe O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_de;_rv:1.9.1.5)_Gecko/20091102_Firefox/3.5.5_(.NET_CLR_3.5.30729)" -"http://fieldofview.com/flickr/?page=photos/xtraboy/1807949002&tags=equirectangular" O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1993962763-706699826-1801674531-1005\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime (User 'Mark') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Global Startup: Rainmeter.lnk = C:\Programme\Rainmeter\Rainmeter.exe O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: O&O CleverCache - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 6596 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"=C:\WINDOWS.1\RTHDCPL.EXE [2009-08-04 18702336] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-31 149280] "IgfxTray"=C:\WINDOWS.1\system32\igfxtray.exe [2007-09-05 141848] "HotKeysCmds"=C:\WINDOWS.1\system32\hkcmd.exe [2007-09-05 166424] "Persistence"=C:\WINDOWS.1\system32\igfxpers.exe [2007-09-05 137752] "THGuard"=C:\Programme\TrojanHunter 5.2\THGuard.exe [2009-08-27 1063072] "avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-11-25 81000] "ooccctrl.exe"=C:\Programme\OO Software\CleverCache\ooccctrl.exe [2009-10-30 2876744] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-05-26 413696] "KernelFaultCheck"=C:\WINDOWS.1\system32\dumprep 0 -k [] "DWQueuedReporting"=C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe [2007-02-26 437160] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS.1\system32\ctfmon.exe [2008-04-14 15360] "msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840] "Eraser"=C:\Programme\Eraser\eraser.exe [2009-06-10 334224] "Mal Updater 2"=C:\Programme\Mal Updater 2\MalUpdater.exe [2009-12-28 2151936] "uTorrent"=C:\Programme\uTorrent\uTorrent.exe [2009-12-11 289584] "TopDesk"=C:\Programme\TopDesk\topdesk.exe [2008-03-23 2105856] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Shockwave Updater"=C:\WINDOWS.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe [2009-04-29 468408] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe [2009-04-24 203928] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe [] C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Startmenü\Programme\Autostart Rainmeter.lnk - C:\Programme\Rainmeter\Rainmeter.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\WINDOWS.1\system32\igfxdev.dll [2007-08-24 208896] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] WgaLogon.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.1\system32\wpdshserviceobj.dll [2009-06-12 133632] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "DisableStatusMessages"=0 "DisableCAD"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 "NoResolveTrack"=1 "NoResolveSearch"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent" "C:\Programme\Java\jre6\bin\java.exe"="C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Dokumente und Einstellungen\Administrator.MEIN-PC\temp\TeamViewer\Version4\TeamViewer.exe"="C:\Dokumente und Einstellungen\Administrator.MEIN-PC\temp\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application" "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe"="C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4" "C:\Programme\Icecast2 Win32\Icecast2win.exe"="C:\Programme\Icecast2 Win32\Icecast2win.exe:*:Enabled:Icecast2win" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe"="C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe:*:Enabled:Flashget2" "C:\Programme\FlashGet Network\FlashGet universal\LiveUpdate.exe"="C:\Programme\FlashGet Network\FlashGet universal\LiveUpdate.exe:*:Enabled:FGLiveUpdate" "C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateEx.exe"="C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateEx.exe:*:Enabled:FGLiveUpdateEx" "C:\Dokumente und Einstellungen\Administrator.MEIN-PC\temp\TeamViewer\Version5\TeamViewer.exe"="C:\Dokumente und Einstellungen\Administrator.MEIN-PC\temp\TeamViewer\Version5\TeamViewer.exe:*:Enabled:TeamViewer" "C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox" "C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" ======List of files/folders created in the last 1 months====== 2010-01-07 20:55:36 ----D---- C:\Python26 2010-01-07 20:03:35 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\ImgBurn 2010-01-07 19:30:45 ----D---- C:\Programme\ImgBurn 2010-01-07 18:47:05 ----D---- C:\WINDOWS.1\system32\NtmsData 2010-01-04 03:59:19 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Opera 2010-01-04 03:59:05 ----D---- C:\Programme\Opera 2010-01-03 16:30:41 ----D---- C:\WINDOWS.1\Minidump 2010-01-03 16:08:20 ----D---- C:\rsit 2010-01-03 16:02:51 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Malwarebytes 2010-01-03 16:02:46 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-01-03 16:02:46 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Malwarebytes 2010-01-03 01:04:47 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Planetside Software 2010-01-03 01:04:45 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uk.co.planetside 2010-01-03 01:04:44 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\TEMP 2010-01-03 01:02:28 ----D---- C:\Programme\Planetside Software 2010-01-02 10:41:47 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\com.adobe.ExMan 2010-01-02 04:17:50 ----D---- C:\Programme\Panda Security 2009-12-27 22:25:52 ----D---- C:\Programme\Neva 2009-12-26 06:11:44 ----A---- C:\WINDOWS.1\system32\G2__2mY1vaP-.dll 2009-12-25 22:40:55 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\OtakuSoftware 2009-12-25 22:40:53 ----D---- C:\Programme\TopDesk 2009-12-25 22:14:11 ----D---- C:\Programme\RocketDock 2009-12-25 22:09:48 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Rainmeter 2009-12-25 22:08:57 ----D---- C:\Programme\Rainmeter 2009-12-25 02:48:47 ----SHD---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\SystemProc 2009-12-24 00:01:58 ----D---- C:\Programme\SRWare Iron 2009-12-23 02:27:30 ----D---- C:\Programme\Combined Community Codec Pack 2009-12-23 02:26:02 ----A---- C:\WINDOWS.1\system32\pthreadGC2.dll 2009-12-23 02:26:02 ----A---- C:\WINDOWS.1\system32\ff_vfw.dll.manifest 2009-12-23 02:26:02 ----A---- C:\WINDOWS.1\system32\ff_vfw.dll 2009-12-23 02:26:01 ----D---- C:\Programme\ffdshow 2009-12-23 02:24:50 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Media Player Classic 2009-12-23 02:24:46 ----D---- C:\Programme\MPC HomeCinema 2009-12-22 18:51:13 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\GrabPro 2009-12-22 00:21:46 ----D---- C:\Programme\Orbitdownloader 2009-12-22 00:21:46 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Orbit 2009-12-18 20:19:48 ----D---- C:\Programme\MKVtoolnix 2009-12-17 23:56:53 ----D---- C:\games 2009-12-15 23:35:17 ----D---- C:\Programme\OO Software 2009-12-15 23:31:12 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\DonationCoder 2009-12-15 23:31:10 ----D---- C:\Programme\ProcessTamer 2009-12-15 23:31:10 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DonationCoder 2009-12-15 22:48:42 ----A---- C:\WINDOWS.1\system32\MyDefragScreenSaver.exe 2009-12-15 22:48:41 ----D---- C:\Programme\MyDefrag v4.2.6 2009-12-15 22:00:23 ----D---- C:\Programme\Everything 2009-12-13 15:58:55 ----D---- C:\Programme\blueMSX 2009-12-12 00:57:19 ----A---- C:\WINDOWS.1\system32\aswBoot.exe 2009-12-12 00:57:13 ----D---- C:\Programme\Alwil Software ======List of files/folders modified in the last 1 months====== 2010-01-11 17:01:26 ----D---- C:\WINDOWS.1\Prefetch 2010-01-11 16:47:18 ----D---- C:\WINDOWS.1\Temp 2010-01-11 16:12:20 ----SHD---- C:\WINDOWS.1\CSC 2010-01-11 15:45:20 ----D---- C:\WINDOWS.1 2010-01-11 15:38:22 ----A---- C:\WINDOWS.1\SchedLgU.Txt 2010-01-11 15:38:06 ----HD---- C:\WINDOWS.1\inf 2010-01-11 15:38:04 ----D---- C:\WINDOWS.1\system32\CatRoot 2010-01-11 15:37:53 ----D---- C:\WINDOWS.1\system32\CatRoot2 2010-01-11 15:37:34 ----D---- C:\WINDOWS.1\system32 2010-01-11 07:25:13 ----SHD---- C:\RECYCLER 2010-01-11 02:53:32 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uTorrent 2010-01-11 00:42:10 ----D---- C:\Programme\Mozilla Firefox 2010-01-11 00:41:03 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mal Updater 2010-01-11 00:39:01 ----SHD---- C:\Config.Msi 2010-01-10 22:16:11 ----SHD---- C:\WINDOWS.1\Installer 2010-01-10 22:15:39 ----D---- C:\Programme\MSECache 2010-01-09 15:47:57 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\foobar2000 2010-01-09 14:28:46 ----D---- C:\Programme\Windows Live Safety Center 2010-01-07 19:30:45 ----D---- C:\Programme 2010-01-05 13:42:14 ----D---- C:\Dokumente und Einstellungen 2010-01-04 02:22:21 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\vlc 2010-01-03 18:41:29 ----SD---- C:\WINDOWS.1\Offline Web Pages 2010-01-03 18:41:29 ----D---- C:\WINDOWS.1\system32\drivers 2010-01-03 18:33:21 ----A---- C:\WINDOWS.1\Sandboxie.ini 2010-01-02 16:25:53 ----D---- C:\Downloads 2010-01-02 10:41:49 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Adobe 2009-12-29 04:10:16 ----RSD---- C:\WINDOWS.1\Fonts 2009-12-26 14:22:09 ----D---- C:\Programme\Mal Updater 2 2009-12-26 12:44:40 ----D---- C:\Programme\Serious Sam The First Encounter 2009-12-25 22:49:34 ----D---- C:\WINDOWS.1\system32\dllcache 2009-12-20 20:21:26 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\dvdcss 2009-12-18 18:13:41 ----D---- C:\Programme\foobar2000 2009-12-15 22:55:27 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\stickies 2009-12-15 22:43:06 ----D---- C:\usb 2009-12-15 21:52:17 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Spybot - Search & Destroy 2009-12-15 21:51:45 ----D---- C:\WINDOWS.1\Debug 2009-12-15 21:41:03 ----SD---- C:\WINDOWS.1\Tasks 2009-12-15 21:25:14 ----D---- C:\Programme\iTunes 2009-12-15 21:25:02 ----D---- C:\Programme\iPod 2009-12-15 21:25:01 ----DC---- C:\WINDOWS.1\system32\DRVSTORE 2009-12-15 21:23:27 ----D---- C:\Programme\Icecast2 Win32 2009-12-15 21:23:19 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2009-12-15 21:13:57 ----D---- C:\Programme\Winamp 2009-12-15 21:08:49 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS 2009-12-13 15:59:10 ----SD---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft 2009-12-12 23:01:23 ----D---- C:\Programme\Adobe 2009-12-12 14:14:37 ----D---- C:\WINDOWS.1\system32\config 2009-12-12 10:04:59 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Avira ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS.1\system32\drivers\Aavmker4.sys [2009-11-25 27408] R1 Aspi32;Aspi32; C:\WINDOWS.1\system32\drivers\Aspi32.sys [2009-06-12 25244] R1 aswSP;avast! Self Protection; C:\WINDOWS.1\system32\drivers\aswSP.sys [2009-11-25 114768] R1 aswTdi;avast! Network Shield Support; C:\WINDOWS.1\system32\drivers\aswTdi.sys [2009-11-25 48560] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS.1\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 truecrypt;truecrypt; C:\WINDOWS.1\System32\drivers\truecrypt.sys [2009-10-14 217664] R2 adfs;adfs; C:\WINDOWS.1\system32\drivers\adfs.sys [2008-08-14 74720] R2 aswFsBlk;aswFsBlk; C:\WINDOWS.1\system32\DRIVERS\aswFsBlk.sys [2009-11-25 20560] R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS.1\system32\drivers\aswMon2.sys [2009-11-25 94160] R2 rspndr;Antwort für Verbindungsschicht-Topologieerkennung; C:\WINDOWS.1\system32\DRIVERS\rspndr.sys [2009-06-12 62848] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS.1\system32\DRIVERS\arp1394.sys [2009-06-12 60800] R3 aswRdr;aswRdr; C:\WINDOWS.1\system32\drivers\aswRdr.sys [2009-11-25 23120] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS.1\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS.1\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 ialm;ialm; C:\WINDOWS.1\system32\DRIVERS\igxpmp32.sys [2007-08-24 5776928] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS.1\system32\drivers\RtkHDAud.sys [2009-08-05 5874176] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS.1\system32\DRIVERS\mouhid.sys [2009-06-12 12288] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS.1\system32\DRIVERS\nic1394.sys [2009-06-12 61824] R3 SbieDrv;SbieDrv; \??\C:\Programme\Sandboxie\SbieDrv.sys [] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS.1\system32\DRIVERS\usbehci.sys [2009-03-18 30336] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS.1\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbscan;USB-Scannertreiber; C:\WINDOWS.1\system32\DRIVERS\usbscan.sys [2008-04-13 15104] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS.1\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] S3 Ambfilt;Ambfilt; C:\WINDOWS.1\system32\drivers\Ambfilt.sys [2008-08-05 1684736] S3 Dot4;MS IEEE-1284.4-Treiber; C:\WINDOWS.1\system32\DRIVERS\Dot4.sys [2008-04-13 206976] S3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\WINDOWS.1\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928] S3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\WINDOWS.1\system32\DRIVERS\dot4usb.sys [2001-08-18 23936] S3 Monfilt;Monfilt; C:\WINDOWS.1\system32\drivers\Monfilt.sys [2006-01-04 1389056] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS.1\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS.1\system32\DRIVERS\WudfPf.sys [2009-06-12 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS.1\system32\DRIVERS\wudfrd.sys [2009-06-12 82944] S4 exFat;exFat; C:\WINDOWS.1\system32\drivers\exFat.sys [2009-06-12 133632] S4 IntelIde;IntelIde; C:\WINDOWS.1\system32\drivers\IntelIde.sys [] S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS.1\System32\drivers\ws2ifsl.sys [2003-04-02 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Alwil Software\Avast4\aswUpdSv.exe [2009-11-25 18752] R2 avast! Antivirus;avast! Antivirus; C:\Programme\Alwil Software\Avast4\ashServ.exe [2009-11-25 138680] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-31 153376] R2 O&O CleverCache;O&O CleverCache; C:\Programme\OO Software\CleverCache\ooccag.exe [2009-10-30 701768] R2 SbieSvc;Sandboxie Service; C:\Programme\Sandboxie\SbieSvc.exe [2009-09-30 65024] R2 StarWindServiceAE;StarWind AE Service; C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [2007-05-28 275968] R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Alwil Software\Avast4\ashMaiSv.exe [2009-11-25 254040] R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Alwil Software\Avast4\ashWebSv.exe [2009-11-25 352920] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS.1\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS.1\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-10-10 655624] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS.1\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 getPlusHelper;getPlus(R) Helper; C:\WINDOWS.1\System32\svchost.exe [2009-06-12 14848] S3 idsvc;Windows CardSpace; C:\WINDOWS.1\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung); C:\WINDOWS.1\System32\svchost.exe [2009-06-12 14848] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS.1\system32\svchost.exe [2009-06-12 14848] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS.1\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- |
|
12.01.2010, 08:49
| #2 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™   | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Hallo und
__________________ Zitat:
Zitat:
 Man verlässt sich nicht auf den Virenscanner, Du musst auch selbst Dein Verhalten so anpassen, dass es am besten garnicht erst zum Befall kommt. Zitat:
Die Logs von RSIT sind da, probier bitte einen Durchlauf mit Malwarebytes und poste das Log.
__________________ |
|
12.01.2010, 19:17
| #3 |
| | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? So. Nochmal mit Malwarebytes gescannt.
__________________Ein alter Log Code:
ATTFilter Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3486
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03.01.2010 18:36:46
mbam-log-2010-01-03 (18-36-39).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|Z:\|)
Durchsuchte Objekte: 329442
Laufzeit: 58 minute(s), 14 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\jsykm.exe (Trojan.Dropper) -> No action taken.
C:\Programme\Pcsx2\plugins\PadSSSPSX.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\sermcwxaon.tmp (Trojan.Dropper) -> No action taken.
Z:\Bilder\pno0001.exe (Malware.Packer.Krunchy) -> No action taken.
Z:\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\wkomr.exe (Trojan.Downloader) -> No action taken.
Nach dem scannen. Code:
ATTFilter Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3486
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.01.2010 18:44:24
mbam-log-2010-01-12 (18-44-16).txt
Scan-Methode: Vollständiger Scan (C:\|Z:\|)
Durchsuchte Objekte: 339969
Laufzeit: 1 hour(s), 0 minute(s), 17 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\.COMMgr\complmgr.exe (Trojan.Scar) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\mexowncasr.tmp (Trojan.Scar) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\rxncsemawo.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\Setup.tmp (Adware.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5TYJHJ9L\Setup[1].exe (Adware.Agent) -> No action taken.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3486
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.01.2010 18:45:15
mbam-log-2010-01-12 (18-45-15).txt
Scan-Methode: Vollständiger Scan (C:\|Z:\|)
Durchsuchte Objekte: 339969
Laufzeit: 1 hour(s), 0 minute(s), 17 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\.COMMgr\complmgr.exe (Trojan.Scar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\mexowncasr.tmp (Trojan.Scar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\rxncsemawo.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\Setup.tmp (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5TYJHJ9L\Setup[1].exe (Adware.Agent) -> Quarantined and deleted successfully.
 Außerdem ist der PC nun total lahm und meine Browser haben nun macken. Firefox funktioniert nur einige Minuten, bis er abstürzt und sich nicht neustarten lässt, Iron zeigt nach wenigen Minuten nur noch einen Punkt an, statt der Seite. Opera und Safari lassen sich nicht öffnen und es wird der IE aufgerufen und oben steht dann der Pfad und "Seite wurde nicht gefunden". Der IE konnte auch keine Seite aufrufen und es stand dass sie zur Sicherheit gesperrt wurde. Nach der Säuberung durch Malwarebytes scheinen die Browser jedenfalls wieder zu funktionieren, habe aber keine Ahnung ob sie wieder aussetzen. Sehe aber grade dass im Mwb Log steht, dass die Browser in der Registry manipuliert wurden und der Fehler behoben wurde. Hoffentlich stimmt das. EDIT: Browser läuft soweit, wollte aber ohne meinen willen 2 Mal irgendwelche Sites aufrufen die von Avast gesperrt wurden. Konnte den Link leider nicht notieren, Avast hat 2 Schädlinge gefunden: "a.exe" Win32:Rootkit-gen und "nersmwxcao.tmp" Win32:FakeAV-AFU in C\DuE\Admin.MEIN-PC\Lokale Einstellungen\Temp Was soll ich nun machen? Geändert von Deoss (12.01.2010 um 19:58 Uhr) |
|
12.01.2010, 20:32
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Heißt das, dass Windows nun auch wieder in den normalen Modus hochfährt?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.01.2010, 21:09
| #5 | |
| |  Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen?Zitat:
|
|
12.01.2010, 21:17
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Hm ich seh da einen exFAT Treiber. Nutzt Du dieses Dateisystem, scheint ja eher unüblich zu sein, und hast Du diesen treiber erst kürzlich installiert? Was genau steht im Bluescreen wenn Du normal booten willst?
__________________ --> Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? |
|
12.01.2010, 22:53
| #7 | |
| | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen?Zitat:
Es kommt ja nichtmal ein Bluescreen, es wird einfach sofort neu gestartet. Browser gingen grade auch nicht: Content Encoding Fehler beim Firefox, einfach eine weiße Seite bei Iron und endlose Wartezeit bei Opera und Seite kann nicht aufgerufen werden bei IE. Nach dem restart gehen die wieder, aber keine ahnung wie Lange. Hab das Gefühl, dass mich der Virus ausperren will. Außerdem öffnete Fireofx und später auch Opera einfach so eine Seite die ich nicht aufgerufen habe Sie lautete in beiden Fällen (ACHTUNG SEITE POTENZIELL GEFÄHRLICH) LINK ENTFERNT Geändert von Deoss (12.01.2010 um 23:49 Uhr) |
|
12.01.2010, 23:18
| #8 | |
| | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Hi, kurz reinspring: die Verbindung musst Du sofort kappen, die Seite hat einen: Zitat:
chris&out Tschuldigung cosinus!
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
13.01.2010, 09:04
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Hm, selbst wenn wir bereinigen weiß ich nicht, ob man in den ganz normalen Modus wieder kommen wird Sicherer hast Du die Schädlinge allemal durchs Neuaufsetzen gelöscht. Wenn Dir Daten sichern + Formatieren gerade nicht passt, dann probiere CF auf eigene Gefahr im Debugmodus aus: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.01.2010, 18:52
| #10 |
| | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? So ComboFix scan durchgeführt. So startet jetzt normal und bisher konnte ich keine Fehler entdecken Vielen Dank für die Hilfe Und was sagt der Log? Code:
ATTFilter ComboFix 10-01-12.05 - Administrator 13.01.2010 18:13:08.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3317.2866 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\cofi.exe
AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS\BITS.ini
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS\DHTTable.dat
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS\ProxyList.ini
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS\UPnP.ini
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\SystemProc
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS\BITS.ini
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS\DHTTable.dat
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS\ProxyList.ini
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS\UPnP.ini
c:\programme\FlashGet Network
c:\programme\FlashGet Network\FlashGet universal\dbtrans_verbose.log
c:\programme\FlashGet Network\FlashGet universal\fgoption.ini
c:\programme\FlashGet Network\FlashGet universal\P2PCfg.ini
c:\programme\FlashGet Network\FlashGet universal\p2spmgr.ini
c:\programme\FlashGet Network\FlashGet universal\p4spmgr.ini
c:\programme\FlashGet Network\FlashGet universal\Profiles\config.dat
c:\programme\FlashGet Network\FlashGet universal\Profiles\tasks.dat
c:\programme\FlashGet Network\FlashGet universal\transaction.log
c:\programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}
c:\programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
c:\programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
c:\programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
C:\Thumbs.db
c:\windows.1\system32\lowsec
c:\windows.1\system32\lowsec\local.ds
c:\windows.1\system32\lowsec\user.ds
c:\windows.1\system32\sdra64.exe
c:\windows.1\system32\SIntf16.dll
c:\windows.1\unins000.dat
c:\windows.1\unins000.exe
Infizierte Kopie von c:\windows.1\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2009-12-13 bis 2010-01-13 ))))))))))))))))))))))))))))))
.
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\windows.1\system32\wbem\snmp
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\windows.1\system32\xircom
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\windows.1\srchasst
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\programme\microsoft frontpage
2010-01-13 16:27 . 2009-12-02 13:19 15880 ----a-w- c:\windows.1\system32\lsdelete.exe
2010-01-13 14:38 . 2009-12-02 13:19 64288 ----a-w- c:\windows.1\system32\drivers\Lbd.sys
2010-01-13 14:35 . 2010-01-13 14:35 -------- dc-h--w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-13 14:34 . 2010-01-13 14:38 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Lavasoft
2010-01-13 14:34 . 2010-01-13 14:34 -------- d-----w- c:\programme\Lavasoft
2010-01-11 18:53 . 2010-01-11 18:53 -------- d-----w- c:\dokumente und einstellungen\Benutzer2\Anwendungsdaten\Thinstall
2010-01-11 18:40 . 2010-01-11 19:33 -------- d-----w- c:\dokumente und einstellungen\Benutzer2\Anwendungsdaten\foobar2000
2010-01-11 17:51 . 2010-01-11 17:51 -------- d-----w- c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\Chromium
2010-01-11 15:26 . 2010-01-11 15:26 -------- d-----w- c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-11 15:20 . 2010-01-11 15:20 -------- d-sh--w- c:\dokumente und einstellungen\Benutzer2\IECompatCache
2010-01-11 14:51 . 2010-01-11 14:51 -------- d-sh--w- c:\dokumente und einstellungen\Benutzer2\PrivacIE
2010-01-11 06:26 . 2010-01-11 21:31 -------- d-----w- c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-01-11 03:01 . 2010-01-11 03:01 -------- d-----w- c:\dokumente und einstellungen\Benutzer2\Anwendungsdaten\Malwarebytes
2010-01-11 01:53 . 2010-01-12 17:45 -------- d-sh--w- c:\dokumente und einstellungen\Administrator.MEIN-PC\.COMMgr
2010-01-07 19:55 . 2010-01-07 19:56 -------- d-----w- C:\Python26
2010-01-07 19:03 . 2010-01-07 19:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\ImgBurn
2010-01-07 18:30 . 2010-01-07 18:35 -------- d-----w- c:\programme\ImgBurn
2010-01-07 17:47 . 2010-01-07 17:47 -------- d-----w- c:\windows.1\system32\NtmsData
2010-01-05 12:43 . 2010-01-05 12:43 -------- d-----w- c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-04 02:59 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-12 16:16 -------- d-----w- c:\programme\Opera
2010-01-03 15:08 . 2010-01-03 15:08 -------- d-----w- C:\rsit
2010-01-03 15:02 . 2010-01-03 15:02 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:55 38224 ----a-w- c:\windows.1\system32\drivers\mbamswissarmy.sys
2010-01-03 15:02 . 2010-01-03 15:02 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-03 15:02 . 2010-01-03 15:02 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:54 19160 ----a-w- c:\windows.1\system32\drivers\mbam.sys
2010-01-03 00:04 . 2010-01-03 00:04 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Planetside Software
2010-01-03 00:04 . 2010-01-03 00:04 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uk.co.planetside
2010-01-03 00:04 . 2010-01-03 00:04 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\TEMP
2010-01-03 00:02 . 2010-01-03 00:02 -------- d-----w- c:\programme\Planetside Software
2010-01-02 09:41 . 2010-01-02 09:41 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Library
2010-01-02 09:41 . 2010-01-02 09:41 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\com.adobe.ExMan
2010-01-02 03:18 . 2009-06-30 08:37 28552 ----a-w- c:\windows.1\system32\drivers\pavboot.sys
2010-01-02 03:17 . 2010-01-02 03:17 -------- d-----w- c:\programme\Panda Security
2009-12-27 21:25 . 2009-12-27 21:41 -------- d-----w- c:\programme\Neva
2009-12-26 05:11 . 2009-12-26 05:11 1187840 ----a-w- c:\windows.1\system32\G2__2mY1vaP-.dll
2009-12-26 00:43 . 2009-12-26 00:44 -------- d-----w- c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:49 . 2008-04-25 18:41 218624 ----a-w- c:\windows.1\system32\dllcache\uxtheme.dll
2009-12-25 21:40 . 2009-12-25 21:40 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\OtakuSoftware
2009-12-25 21:40 . 2009-12-25 21:40 -------- d-----w- c:\programme\TopDesk
2009-12-25 21:14 . 2009-12-25 21:14 -------- d-----w- c:\programme\RocketDock
2009-12-25 21:09 . 2009-12-25 21:11 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:08 . 2009-12-25 21:09 -------- d-----w- c:\programme\Rainmeter
2009-12-23 23:02 . 2009-12-23 23:02 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Chromium
2009-12-23 23:01 . 2009-12-23 23:02 -------- d-----w- c:\programme\SRWare Iron
2009-12-23 01:27 . 2009-12-23 01:27 -------- d-----w- c:\programme\Combined Community Codec Pack
2009-12-23 01:26 . 2008-12-17 18:22 57344 ----a-w- c:\windows.1\system32\ff_vfw.dll
2009-12-23 01:26 . 2008-12-11 12:26 60273 ----a-w- c:\windows.1\system32\pthreadGC2.dll
2009-12-23 01:26 . 2009-12-23 01:26 -------- d-----w- c:\programme\ffdshow
2009-12-23 01:24 . 2009-12-23 01:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Media Player Classic
2009-12-23 01:24 . 2009-12-23 01:24 -------- d-----w- c:\programme\MPC HomeCinema
2009-12-22 17:51 . 2009-12-22 17:51 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\GrabPro
2009-12-22 07:01 . 2010-01-04 18:02 -------- d-----w- c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\Orbit
2009-12-21 23:21 . 2010-01-04 19:27 -------- d-----w- c:\programme\Orbitdownloader
2009-12-21 23:21 . 2010-01-04 19:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Orbit
2009-12-20 14:50 . 2009-12-23 14:21 -------- d-----w- c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 19:19 . 2009-12-18 19:19 -------- d-----w- c:\programme\MKVtoolnix
2009-12-17 22:56 . 2009-12-17 22:56 -------- d-----w- C:\games
2009-12-15 22:35 . 2009-12-15 22:35 -------- d-----w- c:\programme\OO Software
2009-12-15 22:31 . 2009-12-15 22:31 46 ----a-w- c:\windows.1\system32\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31 46 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\DonationCoder
2009-12-15 22:31 . 2009-12-15 23:07 -------- d-----w- c:\programme\ProcessTamer
2009-12-15 22:31 . 2009-12-15 22:31 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DonationCoder
2009-12-15 21:48 . 2009-11-14 06:37 931328 ----a-w- c:\windows.1\system32\MyDefragScreenSaver.exe
2009-12-15 21:48 . 2009-12-16 02:32 -------- d-----w- c:\programme\MyDefrag v4.2.6
2009-12-15 21:48 . 2009-11-14 06:37 93696 ----a-w- c:\windows.1\system32\MyDefragScreenSaver.scr
2009-12-15 21:00 . 2010-01-12 21:56 -------- d-----w- c:\programme\Everything
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 16:40 . 2009-09-17 13:51 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uTorrent
2010-01-12 21:39 . 2009-10-22 15:08 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mal Updater
2010-01-10 21:15 . 2009-08-13 14:38 -------- d-----w- c:\programme\MSECache
2010-01-09 13:28 . 2009-08-07 22:16 -------- d-----w- c:\programme\Windows Live Safety Center
2010-01-05 12:42 . 2010-01-05 12:42 44752 ----a-w- c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-05 12:42 . 2010-01-05 12:42 -------- d-----w- c:\dokumente und einstellungen\Benutzer2\Anwendungsdaten\Rainmeter
2010-01-04 01:22 . 2009-10-12 12:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\vlc
2010-01-03 22:29 . 2009-10-23 22:58 36376 ---ha-w- c:\windows.1\system32\mlfcache.dat
2010-01-03 00:02 . 2010-01-03 00:02 13094 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_2cd672ae.exe
2010-01-03 00:02 . 2010-01-03 00:02 13094 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_16496df1.exe
2010-01-03 00:02 . 2010-01-03 00:02 1078 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_69525f90.exe
2009-12-29 12:19 . 2009-09-07 22:55 44752 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-29 06:26 . 2009-10-07 11:12 44752 ----a-w- c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-27 18:16 . 2009-09-07 22:18 1100 ----a-w- c:\windows.1\system32\d3d8caps.dat
2009-12-26 13:22 . 2009-10-22 15:08 -------- d-----w- c:\programme\Mal Updater 2
2009-12-26 11:44 . 2009-12-04 21:03 -------- d-----w- c:\programme\Serious Sam The First Encounter
2009-12-25 01:52 . 2009-12-24 15:46 79488 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-24 15:46 . 2009-12-24 15:46 152576 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-23 14:34 . 2009-11-26 10:26 -------- d-----w- c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\vlc
2009-12-20 19:21 . 2009-09-15 11:55 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 17:13 . 2009-10-08 21:17 -------- d-----w- c:\programme\foobar2000
2009-12-16 04:25 . 2009-12-24 15:46 267552 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\JRERunOnce.exe
2009-12-15 21:55 . 2009-11-18 06:44 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\stickies
2009-12-15 20:52 . 2009-12-03 18:48 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 20:31 . 2009-12-15 20:31 15600 ----a-w- c:\windows.1\system32\drivers\???????
2009-12-15 20:25 . 2009-07-17 04:01 -------- d-----w- c:\programme\iTunes
2009-12-15 20:25 . 2009-07-22 20:26 -------- d-----w- c:\programme\iPod
2009-12-15 20:23 . 2009-10-10 23:45 -------- d-----w- c:\programme\Icecast2 Win32
2009-12-15 20:23 . 2009-08-20 09:37 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-15 20:13 . 2009-10-08 20:04 -------- d-----w- c:\programme\Winamp
2009-12-14 02:08 . 2009-12-13 14:58 -------- d-----w- c:\programme\blueMSX
2009-12-13 14:59 . 2009-12-13 14:59 3638 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_4ae13d6c.exe
2009-12-13 14:59 . 2009-12-13 14:59 3638 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_2cd672ae.exe
2009-12-13 14:59 . 2009-12-13 14:59 3638 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_294823.exe
2009-12-13 14:59 . 2009-12-13 14:59 1078 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_69525f90.exe
2009-12-13 14:59 . 2009-12-13 14:59 1078 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_18be6784.exe
2009-12-12 09:04 . 2009-11-10 16:33 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Avira
2009-12-11 23:57 . 2009-12-11 23:57 -------- d-----w- c:\programme\Alwil Software
2009-12-11 19:24 . 2009-09-08 11:24 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TeamViewer
2009-12-11 18:30 . 2009-12-11 18:30 53760 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe
2009-12-11 18:24 . 2009-12-11 18:24 53760 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\rundll32.exe
2009-12-10 13:54 . 2003-04-02 15:00 455474 ----a-w- c:\windows.1\system32\perfh007.dat
2009-12-10 13:54 . 2003-04-02 15:00 82920 ----a-w- c:\windows.1\system32\perfc007.dat
2009-12-07 23:33 . 2009-12-04 22:52 21840 ----atw- c:\windows.1\system32\SIntfNT.dll
2009-12-07 23:33 . 2009-12-04 22:52 17212 ----atw- c:\windows.1\system32\SIntf32.dll
2009-12-07 16:45 . 2009-07-06 22:39 56816 ----a-w- c:\windows.1\system32\drivers\avgntflt.sys
2009-12-07 14:10 . 2010-01-13 14:35 2953352 -c--a-w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}\Ad-AwareInstallation.exe
2009-12-05 14:05 . 2009-12-05 14:05 -------- d-----w- c:\programme\Fox
2009-12-05 14:05 . 2009-07-06 22:26 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-04 23:39 . 2009-12-04 23:39 -------- d-----w- c:\programme\Smart Projects
2009-12-04 17:07 . 2009-07-15 12:28 -------- d-----w- c:\programme\Messenger Plus! Live
2009-12-04 07:18 . 2009-12-01 23:39 -------- d-----w- c:\programme\Spesoft Audio Converter
2009-12-03 20:42 . 2009-11-28 13:05 -------- d-----w- c:\programme\TrojanHunter 5.2
2009-12-03 18:50 . 2009-12-03 18:48 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-12-01 23:40 . 2009-12-01 23:40 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Spesoft Audio Converter
2009-12-01 19:59 . 2009-08-20 09:37 -------- d-----w- c:\programme\DVDVideoSoft
2009-11-30 21:22 . 2009-10-14 22:51 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrueCrypt
2009-11-30 20:10 . 2009-11-30 20:10 916506 ----a-w- c:\programme\TrueCrypt User Guide.pdf
2009-11-30 20:10 . 2009-11-30 20:10 26038 ----a-w- c:\programme\License.txt
2009-11-30 20:10 . 2009-11-30 20:10 223440 ----a-w- c:\programme\truecrypt.sys
2009-11-30 20:10 . 2009-11-30 20:10 222160 ----a-w- c:\programme\truecrypt-x64.sys
2009-11-30 20:10 . 2009-11-30 20:10 1562064 ----a-w- c:\programme\TrueCrypt Format.exe
2009-11-30 20:10 . 2009-11-30 20:10 1415632 ----a-w- c:\programme\TrueCrypt.exe
2009-11-30 15:32 . 2009-11-30 15:32 -------- d-----w- c:\programme\Pixologic
2009-11-28 15:44 . 2009-11-28 15:44 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrojanHunter
2009-11-27 00:16 . 2009-09-30 18:20 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall
2009-11-26 23:41 . 2009-11-26 23:41 -------- d-----w- c:\programme\Papercut
2009-11-25 10:10 . 2009-07-06 20:22 -------- d-----w- c:\programme\MSXML 4.0
2009-11-24 23:54 . 2009-12-11 23:57 1280480 ----a-w- c:\windows.1\system32\aswBoot.exe
2009-11-24 23:51 . 2009-12-11 23:57 93424 ----a-w- c:\windows.1\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2009-12-11 23:57 94160 ----a-w- c:\windows.1\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2009-12-11 23:57 114768 ----a-w- c:\windows.1\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2009-12-11 23:57 20560 ----a-w- c:\windows.1\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2009-12-11 23:57 48560 ----a-w- c:\windows.1\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-12-11 23:57 23120 ----a-w- c:\windows.1\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-12-11 23:57 27408 ----a-w- c:\windows.1\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-12-11 23:57 97480 ----a-w- c:\windows.1\system32\AvastSS.scr
2009-11-22 18:29 . 2009-11-22 18:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Picturenaut
2009-11-18 06:44 . 2009-11-18 06:44 587 ----a-w- c:\windows.1\uninstallstickies.bat
2009-11-18 06:44 . 2009-11-18 06:44 -------- d-----w- c:\programme\stickies
2009-10-29 07:40 . 2009-06-12 16:02 916480 ----a-w- c:\windows.1\system32\wininet.dll
2009-10-28 21:07 . 2009-10-28 21:06 91724839 ----a-w- C:\Portable_Photoshop_CS3.exe
2009-10-26 07:24 . 2009-10-26 07:24 2149888 ----a-w- c:\windows.1\system32\python26.dll
2009-10-21 05:38 . 2008-04-14 05:52 75776 ----a-w- c:\windows.1\system32\strmfilt.dll
2009-10-21 05:38 . 2008-04-14 05:52 25088 ----a-w- c:\windows.1\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-13 22:23 265728 ----a-w- c:\windows.1\system32\drivers\http.sys
2006-05-03 09:06 . 2009-10-21 21:51 163328 --sh--r- c:\windows.1\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-21 21:51 31232 --sh--r- c:\windows.1\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-21 21:51 216064 --sh--r- c:\windows.1\system32\nbDX.dll
.
------- Sigcheck -------
[-] 2009-06-12 . B5B1080D35974C0E718D64280761BCD5 . 182912 . . [5.1.2600.5588] . . c:\windows.1\system32\drivers\ndis.sys
[-] 2009-03-23 . AE8CAD8F28DB13B515A68510A539B0B8 . 576512 . . [5.1.2600.5782] . . c:\windows.1\system32\drivers\ntfs.sys
[-] 2009-06-12 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows.1\system32\drivers\tcpip.sys
[-] 2009-06-12 . D3D765E8455A961AE567B408F767D4F9 . 401408 . . [5.1.2600.5755] . . c:\windows.1\system32\rpcss.dll
[-] 2009-06-12 . F0A7D59AF279326528715B206669B86C . 111104 . . [5.1.2600.5755] . . c:\windows.1\system32\services.exe
[-] 2009-09-07 . 20F8788529557A0C219CE18C01995E99 . 514560 . . [5.1.2600.5788] . . c:\windows.1\system32\winlogon.exe
[-] 2009-06-12 15:58 . ADA7241C16F3F42C7F210539FAD5F3AA . 253952 . . [2001.12.4414.706] . . c:\windows.1\system32\es.dll
[-] 2009-06-12 . 3EB703BFC2ED26A3D8ACB8626AB2C006 . 1065472 . . [5.1.2600.5781] . . c:\windows.1\system32\kernel32.dll
[-] 2009-06-12 . 0544248EB86E02F99E0762C3A0854ABD . 343040 . . [7.0.2600.5701] . . c:\windows.1\system32\msvcrt.dll
[-] 2009-06-12 . 4AA50627B01C0E9C6B4C6BD3AF648F12 . 247296 . . [5.1.2600.5625] . . c:\windows.1\system32\mswsock.dll
[-] 2009-06-12 . 98731276ECE6966F4DA540FAB9512F6F . 408064 . . [5.1.2600.5741] . . c:\windows.1\system32\netlogon.dll
[-] 2009-06-12 . 67E38B4A549833E02D4D1617B5DBC318 . 14848 . . [5.1.2600.5689] . . c:\windows.1\system32\svchost.exe
[-] 2009-06-12 . 6C02B5D856674ECCCE64CE8BB8DCE8D9 . 249856 . . [5.1.2600.5654] . . c:\windows.1\system32\tapisrv.dll
[-] 2009-06-12 . D999CF40BD4EEB69FAB32069CA9D65B1 . 1036800 . . [6.00.2900.5634] . . c:\windows.1\explorer.exe
[-] 2009-06-12 . 462861CE6678C2886313B5E9F6EA0AD9 . 298496 . . [5.1.2600.5733] . . c:\windows.1\system32\termsrv.dll
[-] 2009-06-12 16:03 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows.1\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{69B6939F-C70D-45C5-9BBD-E2E2CC3DD8E5}"= "c:\programme\Eazel-DE\tbEaz1.dll" [2009-11-06 2166296]
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"Eraser"="c:\programme\Eraser\eraser.exe" [2009-06-10 334224]
"uTorrent"="c:\programme\uTorrent\uTorrent.exe" [2009-12-11 289584]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe" [2009-04-29 468408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-04 18702336]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"IgfxTray"="c:\windows.1\system32\igfxtray.exe" [2007-09-05 141848]
"HotKeysCmds"="c:\windows.1\system32\hkcmd.exe" [2007-09-05 166424]
"Persistence"="c:\windows.1\system32\igfxpers.exe" [2007-09-05 137752]
"THGuard"="c:\programme\TrojanHunter 5.2\THGuard.exe" [2009-08-27 1063072]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"ooccctrl.exe"="c:\programme\OO Software\CleverCache\ooccctrl.exe" [2009-10-30 2876744]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-06-12 128512]
"IE8"="advpack.dll" [2009-06-12 128512]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS.1^Startmenü^Programme^Autostart^Rainmeter.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS.1\Startmenü\Programme\Autostart\Rainmeter.lnk
backup=c:\windows.1\pss\Rainmeter.lnkCommon Startup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\Administrator.MEIN-PC\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Opera\\opera.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
R0 Lbd;Lbd;c:\windows.1\system32\drivers\Lbd.sys [13.01.2010 15:38 64288]
R0 pavboot;pavboot;c:\windows.1\system32\drivers\pavboot.sys [02.01.2010 04:18 28552]
R1 aswSP;avast! Self Protection;c:\windows.1\system32\drivers\aswSP.sys [12.12.2009 00:57 114768]
R2 aswFsBlk;aswFsBlk;c:\windows.1\system32\drivers\aswFsBlk.sys [12.12.2009 00:57 20560]
R2 O&O CleverCache;O&O CleverCache;c:\programme\OO Software\CleverCache\ooccag.exe [30.10.2009 22:19 701768]
R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [30.09.2009 10:15 116736]
S3 Ambfilt;Ambfilt;c:\windows.1\system32\drivers\Ambfilt.sys [07.09.2009 23:17 1684736]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows.1\System32\svchost.exe -k WinRM [12.06.2009 16:59 14848]
S4 sptd;sptd;c:\windows.1\system32\drivers\sptd.sys [20.09.2009 17:36 721904]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\lazarus@interclue.com\platform\WINNT_x86-msvc\components\WeaveCrypto.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
AddRemove-{1F6D1DB5-82B5-41A4-85A2-0A382C142A35}_is1 - c:\windows.1\unins000.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-13 18:28
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ea,df,94,b2,9d,2e,6e,4a,a4,de,b5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ea,df,94,b2,9d,2e,6e,4a,a4,de,b5,\
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7339289B-8B81-C50D-AFD8-EF1FE1192188}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"paejiapadcfgmjoalhmmedceeoiejcla"=hex:6b,61,61,61,6e,6d,61,6d,67,64,6f,62,64,
69,63,69,62,6a,70,62,66,68,00,7f
"oachgfoapjbcphgmpinnnbanlondhj"=hex:6a,61,70,70,68,6d,69,6f,6f,63,62,65,6b,68,
68,6d,70,6f,6d,66,00,00
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3052)
c:\programme\Windows Media Player\wmpband.dll
c:\windows.1\system32\msi.dll
c:\windows.1\system32\webcheck.dll
c:\windows.1\system32\wpdshserviceobj.dll
c:\windows.1\system32\portabledevicetypes.dll
c:\windows.1\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows.1\RTHDCPL.EXE
c:\windows.1\system32\igfxsrvc.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows.1\system32\wscntfy.exe
c:\programme\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-13 18:32:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-13 17:32
Vor Suchlauf: 2.088.103.936 Bytes frei
Nach Suchlauf: 2.845.257.728 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.1
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.1="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 8031D5163E07C8FAF257269BCBC0D370
Geändert von Deoss (13.01.2010 um 19:31 Uhr) |
|
13.01.2010, 20:26
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter KILLALL::
RegNull::
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7339289B-8B81-C50D-AFD8-EF1FE1192188}*]
RegLockDel::
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
Folder::
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}
c:\dokumente und einstellungen\Administrator.MEIN-PC\.COMMgr
File::
c:\windows.1\system32\G2__2mY1vaP-.dll
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.01.2010, 01:05
| #12 |
| | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Ok Code:
ATTFilter ComboFix 10-01-13.07 - Vanda 14.01.2010 0:45.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3317.2889 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FILE ::
"c:\windows.1\system32\G2__2mY1vaP-.dll"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Administrator.MEIN-PC\.COMMgr
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_16496df1.exe
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_2cd672ae.exe
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_69525f90.exe
c:\windows.1\system32\G2__2mY1vaP-.dll
.
((((((((((((((((((((((( Dateien erstellt von 2009-12-13 bis 2010-01-13 ))))))))))))))))))))))))))))))
.
2010-01-13 18:42 . 2010-01-13 18:42 -------- d-----w- c:\programme\Exif Tag Remover
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\windows.1\system32\wbem\snmp
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\windows.1\system32\xircom
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\windows.1\srchasst
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\programme\microsoft frontpage
2010-01-13 16:27 . 2009-12-02 13:19 15880 ----a-w- c:\windows.1\system32\lsdelete.exe
2010-01-13 14:38 . 2009-12-02 13:19 64288 ----a-w- c:\windows.1\system32\drivers\Lbd.sys
2010-01-13 14:35 . 2010-01-13 14:35 -------- dc-h--w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-13 14:34 . 2010-01-13 14:38 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Lavasoft
2010-01-13 14:34 . 2010-01-13 14:34 -------- d-----w- c:\programme\Lavasoft
2010-01-11 18:53 . 2010-01-11 18:53 -------- d-----w- c:\dokumente und einstellungen\Mark\Anwendungsdaten\Thinstall
2010-01-11 18:40 . 2010-01-11 19:33 -------- d-----w- c:\dokumente und einstellungen\Mark\Anwendungsdaten\foobar2000
2010-01-11 17:51 . 2010-01-11 17:51 -------- d-----w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Chromium
2010-01-11 15:26 . 2010-01-11 15:26 -------- d-----w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-11 15:20 . 2010-01-11 15:20 -------- d-sh--w- c:\dokumente und einstellungen\Mark\IECompatCache
2010-01-11 14:51 . 2010-01-11 14:51 -------- d-sh--w- c:\dokumente und einstellungen\Mark\PrivacIE
2010-01-11 06:26 . 2010-01-11 21:31 -------- d-----w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-01-11 03:01 . 2010-01-11 03:01 -------- d-----w- c:\dokumente und einstellungen\Mark\Anwendungsdaten\Malwarebytes
2010-01-07 19:55 . 2010-01-07 19:56 -------- d-----w- C:\Python26
2010-01-07 19:03 . 2010-01-07 19:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\ImgBurn
2010-01-07 18:30 . 2010-01-07 18:35 -------- d-----w- c:\programme\ImgBurn
2010-01-07 17:47 . 2010-01-07 17:47 -------- d-----w- c:\windows.1\system32\NtmsData
2010-01-05 12:43 . 2010-01-05 12:43 -------- d-----w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-04 02:59 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-12 16:16 -------- d-----w- c:\programme\Opera
2010-01-03 15:08 . 2010-01-03 15:08 -------- d-----w- C:\rsit
2010-01-03 15:02 . 2010-01-03 15:02 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:55 38224 ----a-w- c:\windows.1\system32\drivers\mbamswissarmy.sys
2010-01-03 15:02 . 2010-01-03 15:02 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-03 15:02 . 2010-01-03 15:02 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:54 19160 ----a-w- c:\windows.1\system32\drivers\mbam.sys
2010-01-03 00:04 . 2010-01-03 00:04 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Planetside Software
2010-01-03 00:04 . 2010-01-03 00:04 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uk.co.planetside
2010-01-03 00:04 . 2010-01-03 00:04 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\TEMP
2010-01-03 00:02 . 2010-01-03 00:02 -------- d-----w- c:\programme\Planetside Software
2010-01-02 09:41 . 2010-01-02 09:41 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Library
2010-01-02 09:41 . 2010-01-02 09:41 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\com.adobe.ExMan
2010-01-02 03:18 . 2009-06-30 08:37 28552 ----a-w- c:\windows.1\system32\drivers\pavboot.sys
2010-01-02 03:17 . 2010-01-02 03:17 -------- d-----w- c:\programme\Panda Security
2009-12-27 21:25 . 2009-12-27 21:41 -------- d-----w- c:\programme\Neva
2009-12-26 00:43 . 2009-12-26 00:44 -------- d-----w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:49 . 2008-04-25 18:41 218624 ----a-w- c:\windows.1\system32\dllcache\uxtheme.dll
2009-12-25 21:40 . 2009-12-25 21:40 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\OtakuSoftware
2009-12-25 21:40 . 2009-12-25 21:40 -------- d-----w- c:\programme\TopDesk
2009-12-25 21:14 . 2009-12-25 21:14 -------- d-----w- c:\programme\RocketDock
2009-12-25 21:09 . 2009-12-25 21:11 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:08 . 2009-12-25 21:09 -------- d-----w- c:\programme\Rainmeter
2009-12-23 23:02 . 2009-12-23 23:02 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Chromium
2009-12-23 23:01 . 2009-12-23 23:02 -------- d-----w- c:\programme\SRWare Iron
2009-12-23 01:27 . 2009-12-23 01:27 -------- d-----w- c:\programme\Combined Community Codec Pack
2009-12-23 01:26 . 2008-12-17 18:22 57344 ----a-w- c:\windows.1\system32\ff_vfw.dll
2009-12-23 01:26 . 2008-12-11 12:26 60273 ----a-w- c:\windows.1\system32\pthreadGC2.dll
2009-12-23 01:26 . 2009-12-23 01:26 -------- d-----w- c:\programme\ffdshow
2009-12-23 01:24 . 2009-12-23 01:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Media Player Classic
2009-12-23 01:24 . 2009-12-23 01:24 -------- d-----w- c:\programme\MPC HomeCinema
2009-12-22 17:51 . 2009-12-22 17:51 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\GrabPro
2009-12-22 07:01 . 2010-01-04 18:02 -------- d-----w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\Orbit
2009-12-21 23:21 . 2010-01-04 19:27 -------- d-----w- c:\programme\Orbitdownloader
2009-12-21 23:21 . 2010-01-04 19:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Orbit
2009-12-20 14:50 . 2009-12-23 14:21 -------- d-----w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 19:19 . 2009-12-18 19:19 -------- d-----w- c:\programme\MKVtoolnix
2009-12-17 22:56 . 2009-12-17 22:56 -------- d-----w- C:\games
2009-12-15 22:35 . 2009-12-15 22:35 -------- d-----w- c:\programme\OO Software
2009-12-15 22:31 . 2009-12-15 22:31 46 ----a-w- c:\windows.1\system32\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31 46 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\DonationCoder
2009-12-15 22:31 . 2009-12-15 23:07 -------- d-----w- c:\programme\ProcessTamer
2009-12-15 22:31 . 2009-12-15 22:31 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DonationCoder
2009-12-15 21:48 . 2009-11-14 06:37 931328 ----a-w- c:\windows.1\system32\MyDefragScreenSaver.exe
2009-12-15 21:48 . 2009-12-16 02:32 -------- d-----w- c:\programme\MyDefrag v4.2.6
2009-12-15 21:48 . 2009-11-14 06:37 93696 ----a-w- c:\windows.1\system32\MyDefragScreenSaver.scr
2009-12-15 21:00 . 2010-01-12 21:56 -------- d-----w- c:\programme\Everything
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 23:37 . 2009-09-17 13:51 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uTorrent
2010-01-13 23:37 . 2009-10-08 21:17 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\foobar2000
2010-01-13 20:32 . 2009-07-11 21:08 -------- d-----w- c:\programme\DAEMON Tools Lite
2010-01-13 20:31 . 2009-07-12 20:53 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-01-13 19:51 . 2009-09-20 16:36 691696 ----a-w- c:\windows.1\system32\drivers\sptd.sys
2010-01-13 19:51 . 2009-09-27 22:47 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DAEMON Tools Lite
2010-01-12 21:39 . 2009-10-22 15:08 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mal Updater
2010-01-10 21:15 . 2009-08-13 14:38 -------- d-----w- c:\programme\MSECache
2010-01-09 13:28 . 2009-08-07 22:16 -------- d-----w- c:\programme\Windows Live Safety Center
2010-01-05 12:42 . 2010-01-05 12:42 44752 ----a-w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-05 12:42 . 2010-01-05 12:42 -------- d-----w- c:\dokumente und einstellungen\Mark\Anwendungsdaten\Rainmeter
2010-01-04 01:22 . 2009-10-12 12:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\vlc
2010-01-03 22:29 . 2009-10-23 22:58 36376 ---ha-w- c:\windows.1\system32\mlfcache.dat
2009-12-29 12:19 . 2009-09-07 22:55 44752 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-29 06:26 . 2009-10-07 11:12 44752 ----a-w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-27 18:16 . 2009-09-07 22:18 1100 ----a-w- c:\windows.1\system32\d3d8caps.dat
2009-12-26 13:22 . 2009-10-22 15:08 -------- d-----w- c:\programme\Mal Updater 2
2009-12-26 11:44 . 2009-12-04 21:03 -------- d-----w- c:\programme\Serious Sam The First Encounter
2009-12-25 01:52 . 2009-12-24 15:46 79488 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-24 15:46 . 2009-12-24 15:46 152576 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-23 14:34 . 2009-11-26 10:26 -------- d-----w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\vlc
2009-12-20 19:21 . 2009-09-15 11:55 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 17:13 . 2009-10-08 21:17 -------- d-----w- c:\programme\foobar2000
2009-12-16 04:25 . 2009-12-24 15:46 267552 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\JRERunOnce.exe
2009-12-15 21:55 . 2009-11-18 06:44 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\stickies
2009-12-15 20:52 . 2009-12-03 18:48 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 20:31 . 2009-12-15 20:31 15600 ----a-w- c:\windows.1\system32\drivers\???????
2009-12-15 20:25 . 2009-07-17 04:01 -------- d-----w- c:\programme\iTunes
2009-12-15 20:25 . 2009-07-22 20:26 -------- d-----w- c:\programme\iPod
2009-12-15 20:23 . 2009-10-10 23:45 -------- d-----w- c:\programme\Icecast2 Win32
2009-12-15 20:23 . 2009-08-20 09:37 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-15 20:13 . 2009-10-08 20:04 -------- d-----w- c:\programme\Winamp
2009-12-14 02:08 . 2009-12-13 14:58 -------- d-----w- c:\programme\blueMSX
2009-12-13 14:59 . 2009-12-13 14:59 3638 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_4ae13d6c.exe
2009-12-13 14:59 . 2009-12-13 14:59 3638 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_2cd672ae.exe
2009-12-13 14:59 . 2009-12-13 14:59 3638 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_294823.exe
2009-12-13 14:59 . 2009-12-13 14:59 1078 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_69525f90.exe
2009-12-13 14:59 . 2009-12-13 14:59 1078 ----a-r- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_18be6784.exe
2009-12-12 09:04 . 2009-11-10 16:33 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Avira
2009-12-11 23:57 . 2009-12-11 23:57 -------- d-----w- c:\programme\Alwil Software
2009-12-11 19:24 . 2009-09-08 11:24 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TeamViewer
2009-12-11 18:30 . 2009-12-11 18:30 53760 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe
2009-12-11 18:24 . 2009-12-11 18:24 53760 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\rundll32.exe
2009-12-10 13:54 . 2003-04-02 15:00 455474 ----a-w- c:\windows.1\system32\perfh007.dat
2009-12-10 13:54 . 2003-04-02 15:00 82920 ----a-w- c:\windows.1\system32\perfc007.dat
2009-12-07 23:33 . 2009-12-04 22:52 21840 ----atw- c:\windows.1\system32\SIntfNT.dll
2009-12-07 23:33 . 2009-12-04 22:52 17212 ----atw- c:\windows.1\system32\SIntf32.dll
2009-12-07 16:45 . 2009-07-06 22:39 56816 ----a-w- c:\windows.1\system32\drivers\avgntflt.sys
2009-12-07 14:10 . 2010-01-13 14:35 2953352 -c--a-w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}\Ad-AwareInstallation.exe
2009-12-05 14:05 . 2009-12-05 14:05 -------- d-----w- c:\programme\Fox
2009-12-05 14:05 . 2009-07-06 22:26 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-04 23:39 . 2009-12-04 23:39 -------- d-----w- c:\programme\Smart Projects
2009-12-04 17:07 . 2009-07-15 12:28 -------- d-----w- c:\programme\Messenger Plus! Live
2009-12-04 07:18 . 2009-12-01 23:39 -------- d-----w- c:\programme\Spesoft Audio Converter
2009-12-03 20:42 . 2009-11-28 13:05 -------- d-----w- c:\programme\TrojanHunter 5.2
2009-12-03 18:50 . 2009-12-03 18:48 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-12-01 23:40 . 2009-12-01 23:40 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Spesoft Audio Converter
2009-12-01 19:59 . 2009-08-20 09:37 -------- d-----w- c:\programme\DVDVideoSoft
2009-11-30 21:22 . 2009-10-14 22:51 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrueCrypt
2009-11-30 20:10 . 2009-11-30 20:10 916506 ----a-w- c:\programme\TrueCrypt User Guide.pdf
2009-11-30 20:10 . 2009-11-30 20:10 26038 ----a-w- c:\programme\License.txt
2009-11-30 20:10 . 2009-11-30 20:10 223440 ----a-w- c:\programme\truecrypt.sys
2009-11-30 20:10 . 2009-11-30 20:10 222160 ----a-w- c:\programme\truecrypt-x64.sys
2009-11-30 20:10 . 2009-11-30 20:10 1562064 ----a-w- c:\programme\TrueCrypt Format.exe
2009-11-30 20:10 . 2009-11-30 20:10 1415632 ----a-w- c:\programme\TrueCrypt.exe
2009-11-30 15:32 . 2009-11-30 15:32 -------- d-----w- c:\programme\Pixologic
2009-11-28 15:44 . 2009-11-28 15:44 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrojanHunter
2009-11-27 00:16 . 2009-09-30 18:20 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall
2009-11-26 23:41 . 2009-11-26 23:41 -------- d-----w- c:\programme\Papercut
2009-11-25 10:10 . 2009-07-06 20:22 -------- d-----w- c:\programme\MSXML 4.0
2009-11-24 23:54 . 2009-12-11 23:57 1280480 ----a-w- c:\windows.1\system32\aswBoot.exe
2009-11-24 23:51 . 2009-12-11 23:57 93424 ----a-w- c:\windows.1\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2009-12-11 23:57 94160 ----a-w- c:\windows.1\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2009-12-11 23:57 114768 ----a-w- c:\windows.1\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2009-12-11 23:57 20560 ----a-w- c:\windows.1\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2009-12-11 23:57 48560 ----a-w- c:\windows.1\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-12-11 23:57 23120 ----a-w- c:\windows.1\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-12-11 23:57 27408 ----a-w- c:\windows.1\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-12-11 23:57 97480 ----a-w- c:\windows.1\system32\AvastSS.scr
2009-11-22 18:29 . 2009-11-22 18:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Picturenaut
2009-11-18 06:44 . 2009-11-18 06:44 587 ----a-w- c:\windows.1\uninstallstickies.bat
2009-11-18 06:44 . 2009-11-18 06:44 -------- d-----w- c:\programme\stickies
2009-10-29 07:40 . 2009-06-12 16:02 916480 ------w- c:\windows.1\system32\wininet.dll
2009-10-28 21:07 . 2009-10-28 21:06 91724839 ----a-w- C:\Portable_Photoshop_CS3.exe
2009-10-26 07:24 . 2009-10-26 07:24 2149888 ----a-w- c:\windows.1\system32\python26.dll
2009-10-21 05:38 . 2008-04-14 05:52 75776 ----a-w- c:\windows.1\system32\strmfilt.dll
2009-10-21 05:38 . 2008-04-14 05:52 25088 ----a-w- c:\windows.1\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-13 22:23 265728 ----a-w- c:\windows.1\system32\drivers\http.sys
2006-05-03 09:06 . 2009-10-21 21:51 163328 --sh--r- c:\windows.1\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-21 21:51 31232 --sh--r- c:\windows.1\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-21 21:51 216064 --sh--r- c:\windows.1\system32\nbDX.dll
.
------- Sigcheck -------
[-] 2009-06-12 . B5B1080D35974C0E718D64280761BCD5 . 182912 . . [5.1.2600.5588] . . c:\windows.1\system32\drivers\ndis.sys
[-] 2009-03-23 . AE8CAD8F28DB13B515A68510A539B0B8 . 576512 . . [5.1.2600.5782] . . c:\windows.1\system32\drivers\ntfs.sys
[-] 2009-06-12 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows.1\system32\drivers\tcpip.sys
[-] 2009-06-12 . D3D765E8455A961AE567B408F767D4F9 . 401408 . . [5.1.2600.5755] . . c:\windows.1\system32\rpcss.dll
[-] 2009-06-12 . F0A7D59AF279326528715B206669B86C . 111104 . . [5.1.2600.5755] . . c:\windows.1\system32\services.exe
[-] 2009-09-07 . 20F8788529557A0C219CE18C01995E99 . 514560 . . [5.1.2600.5788] . . c:\windows.1\system32\winlogon.exe
[-] 2009-06-12 15:58 . ADA7241C16F3F42C7F210539FAD5F3AA . 253952 . . [2001.12.4414.706] . . c:\windows.1\system32\es.dll
[-] 2009-06-12 . 3EB703BFC2ED26A3D8ACB8626AB2C006 . 1065472 . . [5.1.2600.5781] . . c:\windows.1\system32\kernel32.dll
[-] 2009-06-12 . 0544248EB86E02F99E0762C3A0854ABD . 343040 . . [7.0.2600.5701] . . c:\windows.1\system32\msvcrt.dll
[-] 2009-06-12 . 4AA50627B01C0E9C6B4C6BD3AF648F12 . 247296 . . [5.1.2600.5625] . . c:\windows.1\system32\mswsock.dll
[-] 2009-06-12 . 98731276ECE6966F4DA540FAB9512F6F . 408064 . . [5.1.2600.5741] . . c:\windows.1\system32\netlogon.dll
[-] 2009-06-12 . 67E38B4A549833E02D4D1617B5DBC318 . 14848 . . [5.1.2600.5689] . . c:\windows.1\system32\svchost.exe
[-] 2009-06-12 . 6C02B5D856674ECCCE64CE8BB8DCE8D9 . 249856 . . [5.1.2600.5654] . . c:\windows.1\system32\tapisrv.dll
[-] 2009-06-12 . D999CF40BD4EEB69FAB32069CA9D65B1 . 1036800 . . [6.00.2900.5634] . . c:\windows.1\explorer.exe
[-] 2009-06-12 . 462861CE6678C2886313B5E9F6EA0AD9 . 298496 . . [5.1.2600.5733] . . c:\windows.1\system32\termsrv.dll
[-] 2009-06-12 16:03 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows.1\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-01-13_17.26.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-13 23:52 . 2010-01-13 23:52 16384 c:\windows.1\Temp\Perflib_Perfdata_c8.dat
+ 2010-01-13 23:52 . 2010-01-13 23:52 16384 c:\windows.1\Temp\Perflib_Perfdata_568.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{69B6939F-C70D-45C5-9BBD-E2E2CC3DD8E5}"= "c:\programme\Eazel-DE\tbEaz1.dll" [2009-11-06 2166296]
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"Eraser"="c:\programme\Eraser\eraser.exe" [2009-06-10 334224]
"uTorrent"="c:\programme\uTorrent\uTorrent.exe" [2009-12-11 289584]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe" [2009-04-29 468408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-04 18702336]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"IgfxTray"="c:\windows.1\system32\igfxtray.exe" [2007-09-05 141848]
"HotKeysCmds"="c:\windows.1\system32\hkcmd.exe" [2007-09-05 166424]
"Persistence"="c:\windows.1\system32\igfxpers.exe" [2007-09-05 137752]
"THGuard"="c:\programme\TrojanHunter 5.2\THGuard.exe" [2009-08-27 1063072]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"ooccctrl.exe"="c:\programme\OO Software\CleverCache\ooccctrl.exe" [2009-10-30 2876744]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-06-12 128512]
"IE8"="advpack.dll" [2009-06-12 128512]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS.1^Startmenü^Programme^Autostart^Rainmeter.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS.1\Startmenü\Programme\Autostart\Rainmeter.lnk
backup=c:\windows.1\pss\Rainmeter.lnkCommon Startup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\Administrator.MEIN-PC\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Opera\\opera.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
R0 Lbd;Lbd;c:\windows.1\system32\drivers\Lbd.sys [13.01.2010 15:38 64288]
R0 pavboot;pavboot;c:\windows.1\system32\drivers\pavboot.sys [02.01.2010 04:18 28552]
R0 sptd;sptd;c:\windows.1\system32\drivers\sptd.sys [20.09.2009 17:36 691696]
R1 aswSP;avast! Self Protection;c:\windows.1\system32\drivers\aswSP.sys [12.12.2009 00:57 114768]
R2 aswFsBlk;aswFsBlk;c:\windows.1\system32\drivers\aswFsBlk.sys [12.12.2009 00:57 20560]
R2 O&O CleverCache;O&O CleverCache;c:\programme\OO Software\CleverCache\ooccag.exe [30.10.2009 22:19 701768]
R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [30.09.2009 10:15 116736]
S3 Ambfilt;Ambfilt;c:\windows.1\system32\drivers\Ambfilt.sys [07.09.2009 23:17 1684736]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows.1\System32\svchost.exe -k WinRM [12.06.2009 16:59 14848]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\lazarus@interclue.com\platform\WINNT_x86-msvc\components\WeaveCrypto.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-14 00:54
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spgg.sys >>UNKNOWN [0x8A6A9938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9e73cb8
\Driver\atapi -> atapi.sys @ 0xb9e08b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> 0x899871b0
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> 0x899871b0
NDIS: Intel 21143-basierter PCI-Fast Ethernetadapter (Standard) -> SendCompleteHandler -> NDIS.sys @ 0xb9cf9bd4
PacketIndicateHandler -> NDIS.sys @ 0xb9d05b21
SendHandler -> NDIS.sys @ 0xb9cf9d44
user & kernel MBR OK
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ea,df,94,b2,9d,2e,6e,4a,a4,de,b5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ea,df,94,b2,9d,2e,6e,4a,a4,de,b5,\
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7339289B-8B81-C50D-AFD8-EF1FE1192188}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"paejiapadcfgmjoalhmmedceeoiejcla"=hex:6b,61,61,61,6e,6d,61,6d,67,64,6f,62,64,
69,63,69,62,6a,70,62,66,68,00,7f
"oachgfoapjbcphgmpinnnbanlondhj"=hex:6a,61,70,70,68,6d,69,6f,6f,63,62,65,6b,68,
68,6d,70,6f,6d,66,00,00
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OOCC7.00.00.01PROSTATION"="AD34C40FB76849B8B69018E05BCCEDA67BBD444F79D99F5F554DB63D8286A3216CB5B6BF50591BE1442E5ED69E0E1C0D179A52A2C9451A468182D83967C71DC2811EB57E275E49AD40F1DE998AA9BB9E3175796D6A1FFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6171C11EC38DE3DFEBC9E127BECC74CA9C6AECB7A5D1407AC0F1DEA24BDCF3A266C08003E37143EF0A3CF4E1933C623ECDE93A3B8E13F37A12468C356976E519450F30BE4CF633F711CD93160BC9C4A052FF78D6DE0B1C8024DF1F44CC3C2C01C070EA496ABBE1A6F82E23952EBF9E23BD3D23ECEC8112166DFD7425BDD1C32DB5422873F2634C12EAF82BC9180C94A98D528C35655C5A63CB62D9070448136C38570155F5E088F447F47325378AB40F6C074500C896C2344ADF96D8897AB3F9CE62ECE0A37AD3E9BCF3239DF98F16B8725A5BA8E2AD54513A8B786B93F09267D4C025EE8D853707405B690966A2654CC991BFA903F079F120B56ADA9653BA5D50C8890B7ACD4A9DF07BF9DE63783E82035AD31589536A97C40385B93F696DCE602D1524763C5524642296AD612787B2C14A71DC040D1BBE435352AC726254F460BE1BA7BEEEC36602645A2004CA83FF1D7C3A63793FA16AEDB1858A86AA4E35E0B3000CB87C486BFA4D7970F016BCFC2A437D63D28045913A8A0492E7D87E6EB67A97D46A8FA57C4371A3EC48A4E29C8A3275A6A5C778D9F978083625D7087018C2E34898F72A0A7D8B82F78888EAD7F02AC05E850129B33A35FB2E64CBC58046790484A41C1BF7288D5A711E02022B5EED64C7669C15305D057A4EB4FF6D1AE6B1A01D0043474054C06880D3BAA2F9020274966502DE61CA3794DB9B2E1CE0F10864A7A6347E311A852577D820B6406CD14BA1DF22CEBD52547C3AD83F21005CE06B336AD2D159CAAB6BB0768CE31E2B4870297824C5D636438C1B593D2B6C8A63DF189F64E7504E2A682E4DFBB6C46965FA461F34D994872B626D378E04C6299C25C8B16C3D57564849E6222474EA5B5ECCD1E002362DE64A2F5A00F2DB9AFAF23EEE727DB69F346AB22612B9D74475CF74B832476DED2D44F5547F17D516472DDCA61079AC95624E6C8573A1E6047D7B80DDCA1A499A560811107064CC38471E8B1C9DA3572C51E78EC4DD3DCF795765EAA87FDBD002B2AF697B26FC5AAE9BD2A8D0C8916444458949161402105F58F0BDEF58107658DD55DFAB29A4B00C2F07EE7A13DDC82A1F8E5DA438C67B37FF8D305AE397880C78ED8F201B373249022B6731CE55BD706AD0991B9875C159F9243214C77BD6A2C82FEDAAD2D08D92AF195811F3797CE6B240D229D46662194BAD7D8FCD0B722DF615BB0DB3E86C83883530C6427CCD82211791DDB211DADF256"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2944)
c:\programme\Windows Media Player\wmpband.dll
c:\windows.1\system32\msi.dll
c:\windows.1\system32\webcheck.dll
c:\windows.1\system32\wpdshserviceobj.dll
c:\windows.1\system32\portabledevicetypes.dll
c:\windows.1\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows.1\RTHDCPL.EXE
c:\windows.1\system32\igfxsrvc.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows.1\system32\wscntfy.exe
c:\programme\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-14 00:59:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-13 23:59
ComboFix2.txt 2010-01-13 17:51
Vor Suchlauf: 2.713.620.480 Bytes frei
Nach Suchlauf: 2.690.564.096 Bytes frei
- - End Of File - - 7E4B41247BB006EE8C126E083F199430
|
|
14.01.2010, 08:27
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Da müssen wir nochmal ran...bitte das gleiche nochmal machen (Scripten mit Combofix) benutz diesmal aber dieses Script: Code:
ATTFilter KILLALL::
RegNull::
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7339289B-8B81-C50D-AFD8-EF1FE1192188}*]
RegLockDel::
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"=-
"EnableFirewall"=-
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.01.2010, 16:27
| #14 |
| | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Ok Code:
ATTFilter ComboFix 10-01-13.0C - Administrator 14.01.2010 16:03:43.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3317.2757 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100114-1] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows.1\system32\winlogon.bak
.
((((((((((((((((((((((( Dateien erstellt von 2009-12-14 bis 2010-01-14 ))))))))))))))))))))))))))))))
.
2010-01-14 06:22 . 2010-01-14 06:22 -------- d-sh--w- c:\dokumente und einstellungen\Vanda_2\PrivacIE
2010-01-14 06:17 . 2010-01-14 06:18 -------- d-----r- c:\dokumente und einstellungen\Vanda_2\Eigene Dateien
2010-01-13 18:42 . 2010-01-13 18:42 -------- d-----w- c:\programme\Exif Tag Remover
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\windows.1\system32\wbem\snmp
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\windows.1\system32\xircom
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\windows.1\srchasst
2010-01-13 17:25 . 2010-01-13 17:25 -------- d-----w- c:\programme\microsoft frontpage
2010-01-13 16:27 . 2009-12-02 13:19 15880 ----a-w- c:\windows.1\system32\lsdelete.exe
2010-01-13 14:38 . 2009-12-02 13:19 64288 ----a-w- c:\windows.1\system32\drivers\Lbd.sys
2010-01-13 14:35 . 2010-01-13 14:35 -------- dc-h--w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-13 14:34 . 2010-01-13 14:38 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Lavasoft
2010-01-13 14:34 . 2010-01-13 14:34 -------- d-----w- c:\programme\Lavasoft
2010-01-11 18:53 . 2010-01-11 18:53 -------- d-----w- c:\dokumente und einstellungen\Mark\Anwendungsdaten\Thinstall
2010-01-11 18:40 . 2010-01-11 19:33 -------- d-----w- c:\dokumente und einstellungen\Mark\Anwendungsdaten\foobar2000
2010-01-11 17:51 . 2010-01-11 17:51 -------- d-----w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Chromium
2010-01-11 15:26 . 2010-01-11 15:26 -------- d-----w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-11 15:20 . 2010-01-11 15:20 -------- d-sh--w- c:\dokumente und einstellungen\Mark\IECompatCache
2010-01-11 14:51 . 2010-01-11 14:51 -------- d-sh--w- c:\dokumente und einstellungen\Mark\PrivacIE
2010-01-11 06:26 . 2010-01-11 21:31 -------- d-----w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-01-11 03:01 . 2010-01-11 03:01 -------- d-----w- c:\dokumente und einstellungen\Mark\Anwendungsdaten\Malwarebytes
2010-01-07 19:55 . 2010-01-07 19:56 -------- d-----w- C:\Python26
2010-01-07 19:03 . 2010-01-07 19:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\ImgBurn
2010-01-07 18:30 . 2010-01-07 18:35 -------- d-----w- c:\programme\ImgBurn
2010-01-07 17:47 . 2010-01-07 17:47 -------- d-----w- c:\windows.1\system32\NtmsData
2010-01-05 12:43 . 2010-01-05 12:43 -------- d-----w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-04 02:59 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-12 16:16 -------- d-----w- c:\programme\Opera
2010-01-03 15:08 . 2010-01-03 15:08 -------- d-----w- C:\rsit
2010-01-03 15:02 . 2010-01-03 15:02 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:55 38224 ----a-w- c:\windows.1\system32\drivers\mbamswissarmy.sys
2010-01-03 15:02 . 2010-01-03 15:02 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-03 15:02 . 2010-01-03 15:02 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:54 19160 ----a-w- c:\windows.1\system32\drivers\mbam.sys
2010-01-03 00:04 . 2010-01-03 00:04 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Planetside Software
2010-01-03 00:04 . 2010-01-03 00:04 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uk.co.planetside
2010-01-03 00:04 . 2010-01-03 00:04 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\TEMP
2010-01-03 00:02 . 2010-01-03 00:02 -------- d-----w- c:\programme\Planetside Software
2010-01-02 09:41 . 2010-01-02 09:41 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Library
2010-01-02 09:41 . 2010-01-02 09:41 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\com.adobe.ExMan
2010-01-02 03:18 . 2009-06-30 08:37 28552 ----a-w- c:\windows.1\system32\drivers\pavboot.sys
2010-01-02 03:17 . 2010-01-02 03:17 -------- d-----w- c:\programme\Panda Security
2009-12-27 21:25 . 2009-12-27 21:41 -------- d-----w- c:\programme\Neva
2009-12-26 00:43 . 2009-12-26 00:44 -------- d-----w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:49 . 2008-04-25 18:41 218624 ----a-w- c:\windows.1\system32\dllcache\uxtheme.dll
2009-12-25 21:40 . 2009-12-25 21:40 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\OtakuSoftware
2009-12-25 21:40 . 2009-12-25 21:40 -------- d-----w- c:\programme\TopDesk
2009-12-25 21:14 . 2009-12-25 21:14 -------- d-----w- c:\programme\RocketDock
2009-12-25 21:09 . 2009-12-25 21:11 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:08 . 2009-12-25 21:09 -------- d-----w- c:\programme\Rainmeter
2009-12-23 23:02 . 2009-12-23 23:02 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Chromium
2009-12-23 23:01 . 2009-12-23 23:02 -------- d-----w- c:\programme\SRWare Iron
2009-12-23 01:27 . 2009-12-23 01:27 -------- d-----w- c:\programme\Combined Community Codec Pack
2009-12-23 01:26 . 2008-12-17 18:22 57344 ----a-w- c:\windows.1\system32\ff_vfw.dll
2009-12-23 01:26 . 2008-12-11 12:26 60273 ----a-w- c:\windows.1\system32\pthreadGC2.dll
2009-12-23 01:26 . 2009-12-23 01:26 -------- d-----w- c:\programme\ffdshow
2009-12-23 01:24 . 2009-12-23 01:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Media Player Classic
2009-12-23 01:24 . 2009-12-23 01:24 -------- d-----w- c:\programme\MPC HomeCinema
2009-12-22 17:51 . 2009-12-22 17:51 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\GrabPro
2009-12-22 07:01 . 2010-01-04 18:02 -------- d-----w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\Orbit
2009-12-21 23:21 . 2010-01-04 19:27 -------- d-----w- c:\programme\Orbitdownloader
2009-12-21 23:21 . 2010-01-04 19:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Orbit
2009-12-20 14:50 . 2009-12-23 14:21 -------- d-----w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 19:19 . 2009-12-18 19:19 -------- d-----w- c:\programme\MKVtoolnix
2009-12-17 22:56 . 2009-12-17 22:56 -------- d-----w- C:\games
2009-12-15 22:35 . 2009-12-15 22:35 -------- d-----w- c:\programme\OO Software
2009-12-15 22:31 . 2009-12-15 22:31 46 ----a-w- c:\windows.1\system32\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31 46 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\DonationCoder
2009-12-15 22:31 . 2009-12-15 23:07 -------- d-----w- c:\programme\ProcessTamer
2009-12-15 22:31 . 2009-12-15 22:31 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DonationCoder
2009-12-15 21:48 . 2009-11-14 06:37 931328 ----a-w- c:\windows.1\system32\MyDefragScreenSaver.exe
2009-12-15 21:48 . 2009-12-16 02:32 -------- d-----w- c:\programme\MyDefrag v4.2.6
2009-12-15 21:48 . 2009-11-14 06:37 93696 ----a-w- c:\windows.1\system32\MyDefragScreenSaver.scr
2009-12-15 21:00 . 2010-01-12 21:56 -------- d-----w- c:\programme\Everything
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-14 15:15 . 2009-09-17 13:51 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uTorrent
2010-01-13 23:37 . 2009-10-08 21:17 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\foobar2000
2010-01-13 20:32 . 2009-07-11 21:08 -------- d-----w- c:\programme\DAEMON Tools Lite
2010-01-13 20:31 . 2009-07-12 20:53 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-01-13 19:51 . 2009-09-20 16:36 691696 ----a-w- c:\windows.1\system32\drivers\sptd.sys
2010-01-13 19:51 . 2009-09-27 22:47 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DAEMON Tools Lite
2010-01-12 21:39 . 2009-10-22 15:08 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mal Updater
2010-01-10 21:15 . 2009-08-13 14:38 -------- d-----w- c:\programme\MSECache
2010-01-09 13:28 . 2009-08-07 22:16 -------- d-----w- c:\programme\Windows Live Safety Center
2010-01-05 12:42 . 2010-01-05 12:42 44752 ----a-w- c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-05 12:42 . 2010-01-05 12:42 -------- d-----w- c:\dokumente und einstellungen\Mark\Anwendungsdaten\Rainmeter
2010-01-04 01:22 . 2009-10-12 12:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\vlc
2010-01-03 22:29 . 2009-10-23 22:58 36376 ---ha-w- c:\windows.1\system32\mlfcache.dat
2009-12-29 12:19 . 2009-09-07 22:55 44752 ----a-w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-29 06:26 . 2009-10-07 11:12 44752 ----a-w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-27 18:16 . 2009-09-07 22:18 1100 ----a-w- c:\windows.1\system32\d3d8caps.dat
2009-12-26 13:22 . 2009-10-22 15:08 -------- d-----w- c:\programme\Mal Updater 2
2009-12-26 11:44 . 2009-12-04 21:03 -------- d-----w- c:\programme\Serious Sam The First Encounter
2009-12-23 14:34 . 2009-11-26 10:26 -------- d-----w- c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\vlc
2009-12-20 19:21 . 2009-09-15 11:55 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 17:13 . 2009-10-08 21:17 -------- d-----w- c:\programme\foobar2000
2009-12-15 21:55 . 2009-11-18 06:44 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\stickies
2009-12-15 20:52 . 2009-12-03 18:48 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 20:31 . 2009-12-15 20:31 15600 ----a-w- c:\windows.1\system32\drivers\???????
2009-12-15 20:25 . 2009-07-17 04:01 -------- d-----w- c:\programme\iTunes
2009-12-15 20:25 . 2009-07-22 20:26 -------- d-----w- c:\programme\iPod
2009-12-15 20:23 . 2009-10-10 23:45 -------- d-----w- c:\programme\Icecast2 Win32
2009-12-15 20:23 . 2009-08-20 09:37 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-15 20:13 . 2009-10-08 20:04 -------- d-----w- c:\programme\Winamp
2009-12-14 02:08 . 2009-12-13 14:58 -------- d-----w- c:\programme\blueMSX
2009-12-12 09:04 . 2009-11-10 16:33 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Avira
2009-12-11 23:57 . 2009-12-11 23:57 -------- d-----w- c:\programme\Alwil Software
2009-12-11 19:24 . 2009-09-08 11:24 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TeamViewer
2009-12-10 13:54 . 2003-04-02 15:00 455474 ----a-w- c:\windows.1\system32\perfh007.dat
2009-12-10 13:54 . 2003-04-02 15:00 82920 ----a-w- c:\windows.1\system32\perfc007.dat
2009-12-07 23:33 . 2009-12-04 22:52 21840 ----atw- c:\windows.1\system32\SIntfNT.dll
2009-12-07 23:33 . 2009-12-04 22:52 17212 ----atw- c:\windows.1\system32\SIntf32.dll
2009-12-07 16:45 . 2009-07-06 22:39 56816 ----a-w- c:\windows.1\system32\drivers\avgntflt.sys
2009-12-05 14:05 . 2009-12-05 14:05 -------- d-----w- c:\programme\Fox
2009-12-05 14:05 . 2009-07-06 22:26 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-04 23:39 . 2009-12-04 23:39 -------- d-----w- c:\programme\Smart Projects
2009-12-04 17:07 . 2009-07-15 12:28 -------- d-----w- c:\programme\Messenger Plus! Live
2009-12-04 07:18 . 2009-12-01 23:39 -------- d-----w- c:\programme\Spesoft Audio Converter
2009-12-03 20:42 . 2009-11-28 13:05 -------- d-----w- c:\programme\TrojanHunter 5.2
2009-12-03 18:50 . 2009-12-03 18:48 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-12-01 23:40 . 2009-12-01 23:40 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Spesoft Audio Converter
2009-12-01 19:59 . 2009-08-20 09:37 -------- d-----w- c:\programme\DVDVideoSoft
2009-11-30 21:22 . 2009-10-14 22:51 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrueCrypt
2009-11-30 20:10 . 2009-11-30 20:10 916506 ----a-w- c:\programme\TrueCrypt User Guide.pdf
2009-11-30 20:10 . 2009-11-30 20:10 26038 ----a-w- c:\programme\License.txt
2009-11-30 20:10 . 2009-11-30 20:10 223440 ----a-w- c:\programme\truecrypt.sys
2009-11-30 20:10 . 2009-11-30 20:10 222160 ----a-w- c:\programme\truecrypt-x64.sys
2009-11-30 20:10 . 2009-11-30 20:10 1562064 ----a-w- c:\programme\TrueCrypt Format.exe
2009-11-30 20:10 . 2009-11-30 20:10 1415632 ----a-w- c:\programme\TrueCrypt.exe
2009-11-30 15:32 . 2009-11-30 15:32 -------- d-----w- c:\programme\Pixologic
2009-11-28 15:44 . 2009-11-28 15:44 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrojanHunter
2009-11-27 00:16 . 2009-09-30 18:20 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall
2009-11-26 23:41 . 2009-11-26 23:41 -------- d-----w- c:\programme\Papercut
2009-11-25 10:10 . 2009-07-06 20:22 -------- d-----w- c:\programme\MSXML 4.0
2009-11-24 23:54 . 2009-12-11 23:57 1280480 ----a-w- c:\windows.1\system32\aswBoot.exe
2009-11-24 23:51 . 2009-12-11 23:57 93424 ----a-w- c:\windows.1\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2009-12-11 23:57 94160 ----a-w- c:\windows.1\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2009-12-11 23:57 114768 ----a-w- c:\windows.1\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2009-12-11 23:57 20560 ----a-w- c:\windows.1\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2009-12-11 23:57 48560 ----a-w- c:\windows.1\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-12-11 23:57 23120 ----a-w- c:\windows.1\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-12-11 23:57 27408 ----a-w- c:\windows.1\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-12-11 23:57 97480 ----a-w- c:\windows.1\system32\AvastSS.scr
2009-11-22 18:29 . 2009-11-22 18:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Picturenaut
2009-11-18 06:44 . 2009-11-18 06:44 587 ----a-w- c:\windows.1\uninstallstickies.bat
2009-11-18 06:44 . 2009-11-18 06:44 -------- d-----w- c:\programme\stickies
2009-10-29 07:40 . 2009-06-12 16:02 916480 ------w- c:\windows.1\system32\wininet.dll
2009-10-28 21:07 . 2009-10-28 21:06 91724839 ----a-w- C:\Portable_Photoshop_CS3.exe
2009-10-26 07:24 . 2009-10-26 07:24 2149888 ----a-w- c:\windows.1\system32\python26.dll
2009-10-21 05:38 . 2008-04-14 05:52 75776 ----a-w- c:\windows.1\system32\strmfilt.dll
2009-10-21 05:38 . 2008-04-14 05:52 25088 ----a-w- c:\windows.1\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-13 22:23 265728 ----a-w- c:\windows.1\system32\drivers\http.sys
2006-05-03 09:06 . 2009-10-21 21:51 163328 --sh--r- c:\windows.1\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-21 21:51 31232 --sh--r- c:\windows.1\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-21 21:51 216064 --sh--r- c:\windows.1\system32\nbDX.dll
.
------- Sigcheck -------
[-] 2009-06-12 . B5B1080D35974C0E718D64280761BCD5 . 182912 . . [5.1.2600.5588] . . c:\windows.1\system32\drivers\ndis.sys
[-] 2009-03-23 . AE8CAD8F28DB13B515A68510A539B0B8 . 576512 . . [5.1.2600.5782] . . c:\windows.1\system32\drivers\ntfs.sys
[-] 2009-06-12 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows.1\system32\drivers\tcpip.sys
[-] 2009-06-12 . D3D765E8455A961AE567B408F767D4F9 . 401408 . . [5.1.2600.5755] . . c:\windows.1\system32\rpcss.dll
[-] 2009-06-12 . F0A7D59AF279326528715B206669B86C . 111104 . . [5.1.2600.5755] . . c:\windows.1\system32\services.exe
[-] 2009-09-07 . 20F8788529557A0C219CE18C01995E99 . 514560 . . [5.1.2600.5788] . . c:\windows.1\system32\winlogon.exe
[-] 2009-06-12 15:58 . ADA7241C16F3F42C7F210539FAD5F3AA . 253952 . . [2001.12.4414.706] . . c:\windows.1\system32\es.dll
[-] 2009-06-12 . 3EB703BFC2ED26A3D8ACB8626AB2C006 . 1065472 . . [5.1.2600.5781] . . c:\windows.1\system32\kernel32.dll
[-] 2009-06-12 . 0544248EB86E02F99E0762C3A0854ABD . 343040 . . [7.0.2600.5701] . . c:\windows.1\system32\msvcrt.dll
[-] 2009-06-12 . 4AA50627B01C0E9C6B4C6BD3AF648F12 . 247296 . . [5.1.2600.5625] . . c:\windows.1\system32\mswsock.dll
[-] 2009-06-12 . 98731276ECE6966F4DA540FAB9512F6F . 408064 . . [5.1.2600.5741] . . c:\windows.1\system32\netlogon.dll
[-] 2009-06-12 . 67E38B4A549833E02D4D1617B5DBC318 . 14848 . . [5.1.2600.5689] . . c:\windows.1\system32\svchost.exe
[-] 2009-06-12 . 6C02B5D856674ECCCE64CE8BB8DCE8D9 . 249856 . . [5.1.2600.5654] . . c:\windows.1\system32\tapisrv.dll
[-] 2009-06-12 . D999CF40BD4EEB69FAB32069CA9D65B1 . 1036800 . . [6.00.2900.5634] . . c:\windows.1\explorer.exe
[-] 2009-06-12 . 462861CE6678C2886313B5E9F6EA0AD9 . 298496 . . [5.1.2600.5733] . . c:\windows.1\system32\termsrv.dll
[-] 2009-06-12 16:03 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows.1\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-01-13_17.26.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-14 15:11 . 2010-01-14 15:11 16384 c:\windows.1\Temp\Perflib_Perfdata_d4.dat
+ 2010-01-14 15:11 . 2010-01-14 15:11 16384 c:\windows.1\Temp\Perflib_Perfdata_568.dat
+ 2010-01-14 14:51 . 2010-01-14 14:51 16384 c:\windows.1\Temp\Perflib_Perfdata_54c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{69B6939F-C70D-45C5-9BBD-E2E2CC3DD8E5}"= "c:\programme\Eazel-DE\tbEaz1.dll" [2009-11-06 2166296]
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"Eraser"="c:\programme\Eraser\eraser.exe" [2009-06-10 334224]
"uTorrent"="c:\programme\uTorrent\uTorrent.exe" [2009-12-11 289584]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe" [2009-04-29 468408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-04 18702336]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"IgfxTray"="c:\windows.1\system32\igfxtray.exe" [2007-09-05 141848]
"HotKeysCmds"="c:\windows.1\system32\hkcmd.exe" [2007-09-05 166424]
"Persistence"="c:\windows.1\system32\igfxpers.exe" [2007-09-05 137752]
"THGuard"="c:\programme\TrojanHunter 5.2\THGuard.exe" [2009-08-27 1063072]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"ooccctrl.exe"="c:\programme\OO Software\CleverCache\ooccctrl.exe" [2009-10-30 2876744]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-06-12 128512]
"IE8"="advpack.dll" [2009-06-12 128512]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS.1^Startmenü^Programme^Autostart^Rainmeter.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS.1\Startmenü\Programme\Autostart\Rainmeter.lnk
backup=c:\windows.1\pss\Rainmeter.lnkCommon Startup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\Administrator.MEIN-PC\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Opera\\opera.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
R0 Lbd;Lbd;c:\windows.1\system32\drivers\Lbd.sys [13.01.2010 15:38 64288]
R0 pavboot;pavboot;c:\windows.1\system32\drivers\pavboot.sys [02.01.2010 04:18 28552]
R0 sptd;sptd;c:\windows.1\system32\drivers\sptd.sys [20.09.2009 17:36 691696]
R1 aswSP;avast! Self Protection;c:\windows.1\system32\drivers\aswSP.sys [12.12.2009 00:57 114768]
R2 aswFsBlk;aswFsBlk;c:\windows.1\system32\drivers\aswFsBlk.sys [12.12.2009 00:57 20560]
R2 O&O CleverCache;O&O CleverCache;c:\programme\OO Software\CleverCache\ooccag.exe [30.10.2009 22:19 701768]
R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [30.09.2009 10:15 116736]
S3 Ambfilt;Ambfilt;c:\windows.1\system32\drivers\Ambfilt.sys [07.09.2009 23:17 1684736]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows.1\System32\svchost.exe -k WinRM [12.06.2009 16:59 14848]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\lazarus@interclue.com\platform\WINNT_x86-msvc\components\WeaveCrypto.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-14 16:14
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spdm.sys >>UNKNOWN [0x8A6A9938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9e73cb8
\Driver\atapi -> atapi.sys @ 0xb9e08b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> 0x899d81b0
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> 0x899d81b0
NDIS: Intel 21143-basierter PCI-Fast Ethernetadapter (Standard) -> SendCompleteHandler -> NDIS.sys @ 0xb9cf9bd4
PacketIndicateHandler -> NDIS.sys @ 0xb9d05b21
SendHandler -> NDIS.sys @ 0xb9cf9d44
user & kernel MBR OK
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OOCC7.00.00.01PROSTATION"="AD34C40FB76849B8B69018E05BCCEDA67BBD444F79D99F5F554DB63D8286A3216CB5B6BF50591BE1442E5ED69E0E1C0D179A52A2C9451A468182D83967C71DC2811EB57E275E49AD40F1DE998AA9BB9E3175796D6A1FFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6171C11EC38DE3DFEBC9E127BECC74CA9C6AECB7A5D1407AC0F1DEA24BDCF3A266C08003E37143EF0A3CF4E1933C623ECDE93A3B8E13F37A12468C356976E519450F30BE4CF633F711CD93160BC9C4A052FF78D6DE0B1C8024DF1F44CC3C2C01C070EA496ABBE1A6F82E23952EBF9E23BD3D23ECEC8112166DFD7425BDD1C32DB5422873F2634C12EAF82BC9180C94A98D528C35655C5A63CB62D9070448136C38570155F5E088F447F47325378AB40F6C074500C896C2344ADF96D8897AB3F9CE62ECE0A37AD3E9BCF3239DF98F16B8725A5BA8E2AD54513A8B786B93F09267D4C025EE8D853707405B690966A2654CC991BFA903F079F120B56ADA9653BA5D50C8890B7ACD4A9DF07BF9DE63783E82035AD31589536A97C40385B93F696DCE602D1524763C5524642296AD612787B2C14A71DC040D1BBE435352AC726254F460BE1BA7BEEEC36602645A2004CA83FF1D7C3A63793FA16AEDB1858A86AA4E35E0B3000CB87C486BFA4D7970F016BCFC2A437D63D28045913A8A0492E7D87E6EB67A97D46A8FA57C4371A3EC48A4E29C8A3275A6A5C778D9F978083625D7087018C2E34898F72A0A7D8B82F78888EAD7F02AC05E850129B33A35FB2E64CBC58046790484A41C1BF7288D5A711E02022B5EED64C7669C15305D057A4EB4FF6D1AE6B1A01D0043474054C06880D3BAA2F9020274966502DE61CA3794DB9B2E1CE0F10864A7A6347E311A852577D820B6406CD14BA1DF22CEBD52547C3AD83F21005CE06B336AD2D159CAAB6BB0768CE31E2B4870297824C5D636438C1B593D2B6C8A63DF189F64E7504E2A682E4DFBB6C46965FA461F34D994872B626D378E04C6299C25C8B16C3D57564849E6222474EA5B5ECCD1E002362DE64A2F5A00F2DB9AFAF23EEE727DB69F346AB22612B9D74475CF74B832476DED2D44F5547F17D516472DDCA61079AC95624E6C8573A1E6047D7B80DDCA1A499A560811107064CC38471E8B1C9DA3572C51E78EC4DD3DCF795765EAA87FDBD002B2AF697B26FC5AAE9BD2A8D0C8916444458949161402105F58F0BDEF58107658DD55DFAB29A4B00C2F07EE7A13DDC82A1F8E5DA438C67B37FF8D305AE397880C78ED8F201B373249022B6731CE55BD706AD0991B9875C159F9243214C77BD6A2C82FEDAAD2D08D92AF195811F3797CE6B240D229D46662194BAD7D8FCD0B722DF615BB0DB3E86C83883530C6427CCD82211791DDB211DADF256"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(1852)
c:\programme\Windows Media Player\wmpband.dll
c:\windows.1\system32\msi.dll
c:\windows.1\system32\webcheck.dll
c:\windows.1\system32\wpdshserviceobj.dll
c:\windows.1\system32\portabledevicetypes.dll
c:\windows.1\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows.1\RTHDCPL.EXE
c:\windows.1\system32\igfxsrvc.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-14 16:19:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-14 15:19
ComboFix2.txt 2010-01-13 23:59
ComboFix3.txt 2010-01-13 17:51
Vor Suchlauf: 2.362.191.872 Bytes frei
Nach Suchlauf: 2.371.551.232 Bytes frei
- - End Of File - - 8B7641C2712C11B6BC83A0726C7E527E
|
|
14.01.2010, 20:35
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? Das Log ist aus meiner Sicht nun ok Mach nun bitte noch noch einen Kontrollscan mit Malwarebytes aber vorher dieses Programm aktualisieren!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? |
| antivirus, avast!, bho, bildschirm, bonjour, booten, browser, einstellungen, eraser, firefox.exe, fontcache, frage, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet browser, internet explorer, jusched.exe, liveupdate.exe, logfile, opera.exe, pdf-datei, pop-up, problem, realtek, registry, remote control, rundll, scan, sicherheit, software, system, taskmanager, win32:trojan-gen, windows, windows live messenger, windows xp |
Linear-Darstellung
