| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Mal wieder was eingefangen: rundll32.exe Virus/Malware | ProgrammabstürzeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.01.2010, 18:25
| #1 |
| |  Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Hallo liebe User, ich hab' mir mal wieder was eingefangen -.- Vor ca. 1 Stunde hat mich meine Firewall plötzlich gefragt, ob die explorer.exe eine Verbindung zu irgendeiner obskuren IP-Adresse aufbauen darf - hab' Nein geklickt, wusste aber schon, dass da irgendwas faul ist. Mit HijackThis habe ich den Übeltäter auch sofort gefunden: Eine rundll32.exe im Windows-Rootverzeichnis. Wie üblich, löschen bringt nichts, sie erstellt sich dann einfach neu. Gleichzeitig klinkt sie sich in der Registry ein. CCleaner hab' ich druchlaufen lassen. HijackThis Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:16:40, on 17.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\G DATA Windows XP Styler\StyleXPService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate Personal Firewall\smc.exe C:\Programme\Avast\aswUpdSv.exe C:\Programme\Avast\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ALCWZRD.EXE C:\PROGRA~1\Avast\ashDisp.exe C:\Programme\Geburtstagsmanager\burz.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avast\ashMaiSv.exe C:\Programme\Avast\ashWebSv.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Total Commander\TOTALCMD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HijackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [Geburtstagsmanager] C:\Programme\Geburtstagsmanager\burz.exe /silent O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\rundll32.exe O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\rundll32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255825742484 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C4425679-530A-406E-9423-F6FA72DD5A7D}: NameServer = 195.50.140.248 195.50.140.114 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\G DATA Windows XP Styler\StyleXPService.exe -- End of file - 5110 bytes Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2010-01-17 18:33:08 Microsoft Windows XP Professional Service Pack 2 System drive C: has 19 GB (62%) free of 30 GB Total RAM: 2047 MB (66% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:33:10, on 17.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\G DATA Windows XP Styler\StyleXPService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate Personal Firewall\smc.exe C:\Programme\Avast\aswUpdSv.exe C:\Programme\Avast\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ALCWZRD.EXE C:\PROGRA~1\Avast\ashDisp.exe C:\Programme\Geburtstagsmanager\burz.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avast\ashMaiSv.exe C:\Programme\Avast\ashWebSv.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Total Commander\TOTALCMD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HijackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Xfire\xfire.exe M:\Programme, Maps & Tools\Programme & Tools\RSIT.exe C:\Programme\HijackThis\***.exe O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [Geburtstagsmanager] C:\Programme\Geburtstagsmanager\burz.exe /silent O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\rundll32.exe O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\rundll32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255825742484 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C4425679-530A-406E-9423-F6FA72DD5A7D}: NameServer = 195.50.140.248 195.50.140.114 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\G DATA Windows XP Styler\StyleXPService.exe -- End of file - 5263 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-11-18 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-11-18 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-09-27 86016] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-09-27 13918208] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAudPropShortcut.exe [2004-03-17 61952] "AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2004-09-24 2559488] "avast!"=C:\PROGRA~1\Avast\ashDisp.exe [2009-11-25 81000] "SmcService"=C:\PROGRA~1\SYGATE~1\smc.exe [2004-02-24 2372760] "Geburtstagsmanager"=C:\Programme\Geburtstagsmanager\burz.exe [2005-05-10 2236928] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-11-18 149280] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Malwarebytes' Anti-Malware"=C:\Programme\Anti-Malware\mbamgui.exe [2010-01-07 429392] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Policies"=C:\WINDOWS\rundll32.exe [2006-06-17 507392] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2009-04-23 691656] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Policies"=C:\WINDOWS\rundll32.exe [2006-06-17 507392] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-08-24 133120] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\ICQLite\ICQ.exe"="C:\Programme\ICQLite\ICQ.exe:*:Enabled:ICQ Lite" "D:\Call of Duty 4 - Modern Warfare\iw3mp.exe"="D:\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) " "C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent" "D:\Company of Heroes\RelicDownloader\RelicDownloader.exe"="D:\Company of Heroes\RelicDownloader\RelicDownloader.exe:*:Enabled:Relic Downloader" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "D:\Steam\SteamApps\common\zero gear\ZeroGear.bat"="D:\Steam\SteamApps\common\zero gear\ZeroGear.bat:*:Enabled:Zero Gear" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d484486-bb83-11de-a4ad-806d6172696f}] shell\adobe\command - G:\goodies\ar405deu.exe shell\AutoRun\command - G:\aocsetup.exe /autorun shell\log\command - G:\goodies\machine\machine.exe -l shell\machine\command - G:\goodies\machine\machine.exe shell\setup\command - G:\aocsetup.exe /autorun shell\zone\command - G:\goodies\mszone\zonea660.exe ======List of files/folders created in the last 1 months====== 2010-01-17 18:33:08 ----D---- C:\rsit 2010-01-17 18:03:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2010-01-17 18:03:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-17 18:03:52 ----D---- C:\Programme\Anti-Malware 2010-01-16 23:21:01 ----A---- C:\WINDOWS\system32\ff_vfw.dll.manifest 2010-01-16 23:21:01 ----A---- C:\WINDOWS\system32\ff_vfw.dll 2010-01-16 23:20:59 ----D---- C:\Programme\ffdshow 2010-01-12 20:04:04 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2010-01-12 20:02:24 ----A---- C:\WINDOWS\IsUn0407.exe 2010-01-10 20:11:25 ----A---- C:\WINDOWS\system32\ptpusb.dll 2010-01-10 20:11:24 ----A---- C:\WINDOWS\system32\ptpusd.dll 2009-12-30 23:34:12 ----D---- C:\Programme\Hamachi 2009-12-24 18:45:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech 2009-12-24 18:45:23 ----D---- C:\Programme\Gemeinsame Dateien\Logitech 2009-12-24 18:45:22 ----D---- C:\Programme\Logitech 2009-12-24 18:40:25 ----A---- C:\WINDOWS\system32\hidserv.dll 2009-12-23 15:32:01 ----D---- C:\Programme\OpenAL 2009-12-23 15:32:01 ----A---- C:\WINDOWS\system32\wrap_oal.dll 2009-12-23 15:32:01 ----A---- C:\WINDOWS\system32\OpenAL32.dll 2009-12-23 00:59:32 ----A---- C:\WINDOWS\system32\xfcodec.dll ======List of files/folders modified in the last 1 months====== 2010-01-17 18:33:09 ----D---- C:\Programme\HijackThis 2010-01-17 18:28:13 ----D---- C:\WINDOWS\Temp 2010-01-17 18:06:28 ----D---- C:\WINDOWS\Prefetch 2010-01-17 18:03:54 ----D---- C:\WINDOWS\system32\drivers 2010-01-17 18:03:52 ----RD---- C:\Programme 2010-01-17 17:49:55 ----A---- C:\WINDOWS\wincmd.ini 2010-01-17 17:41:24 ----D---- C:\Programme\Mozilla Firefox 2010-01-17 16:27:09 ----D---- C:\Programme\RSD 2010-01-17 01:16:28 ----N---- C:\WINDOWS\SchedLgU.Txt 2010-01-17 01:04:03 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire 2010-01-16 23:25:28 ----A---- C:\WINDOWS\NeroDigital.ini 2010-01-16 23:21:01 ----D---- C:\WINDOWS\system32 2010-01-16 23:15:01 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-16 23:11:37 ----D---- C:\Programme\XP Codec Pack 2010-01-15 18:02:52 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ 2010-01-14 21:42:19 ----SD---- C:\Programme\Xfire 2010-01-13 08:27:44 ----D---- C:\Programme\Sygate Personal Firewall 2010-01-12 21:27:37 ----D---- C:\Programme\Paint Shop Pro 7 2010-01-12 20:36:39 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2010-01-12 20:04:04 ----D---- C:\Programme\Gemeinsame Dateien 2010-01-12 20:03:34 ----D---- C:\Programme\Adobe 2010-01-11 20:28:53 ----D---- C:\Programme\dBpowerAMP 2010-01-09 23:10:14 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi 2009-12-30 23:29:20 ----SHD---- C:\WINDOWS\Installer 2009-12-29 20:23:07 ----D---- C:\Programme\ICQLite 2009-12-24 19:07:52 ----A---- C:\WINDOWS\system32\PnkBstrB.exe 2009-12-24 18:40:31 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-12-24 18:40:01 ----HD---- C:\WINDOWS\inf 2009-12-23 15:32:26 ----D---- C:\WINDOWS\system32\DirectX 2009-12-23 15:32:07 ----D---- C:\WINDOWS\WinSxS ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-11-25 27408] R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-09-15 114768] R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-11-25 48560] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2006-02-28 40192] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] R1 StyleXPHelper;StyleXPHelper; \??\C:\Programme\G DATA Windows XP Styler\StyleXPHelper.exe [] R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys [] R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560] R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-09-15 94160] R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2002-11-29 16320] R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914] R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-11-25 23120] R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2002-11-28 15360] R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-12-30 25280] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2004-03-17 135168] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2006-02-28 9600] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2004-09-24 2276672] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-02-28 12288] R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-09-27 7655872] R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2004-04-01 10368] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2006-02-28 26624] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2006-02-28 57600] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2006-02-28 20480] R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2004-10-27 223104] S3 acbp5ips;acbp5ips; C:\WINDOWS\system32\drivers\acbp5ips.sys [] S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2004-03-17 113664] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-08-24 38656] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-08-24 90112] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Avast\aswUpdSv.exe [2009-11-25 18752] R2 avast! Antivirus;avast! Antivirus; C:\Programme\Avast\ashServ.exe [2009-11-25 138680] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-11-18 153376] R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-10-22 75064] R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-12-24 215104] R2 SmcService; Sygate Personal Firewall Pro; C:\Programme\Sygate Personal Firewall\smc.exe [2004-02-24 2372760] R2 StyleXPService;StyleXPService; C:\Programme\G DATA Windows XP Styler\StyleXPService.exe [2004-08-24 307200] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2006-02-28 14336] R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Avast\ashMaiSv.exe [2009-11-25 254040] R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Avast\ashWebSv.exe [2009-11-25 352920] R3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328] S2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-09-27 172100] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-06-29 800040] S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- Nun war ich bereits auf Jottis Malwarescan, interessanterweise kann ich dort, nachdem ich auf "Durchsuchen" geklickt habe, den Windows-Ordner gar nicht erst anwählen, trotz kompletter Ansicht (versteckte Dateien anzeigen usw.). Habe mir auch das hier empfohlene Malwareerkennungsprogramm heruntergeladen (Malwarebyte's Anti-Malware), dieses stürzt allerdings beim Beginn des Scans ab. Auch viele andere Programme stürzen jetzt einfach ab, z.B. der Registrierungseditor. Neugestartet habe ich noch nicht, aus Angst das der PC dann nicht mehr bootet. Ich hab' zwar umfangreich gegoogelt, aber zu diesem rundll32-Virus in Verbindung mit den Registry-Einträgen nichts gefunden bzw. nur die Information, dass auf Win98/ME sich dort die Datei befindet. Auch hier im Forum konnte ich keinen vergleichbaren Fall ausfindig machen. Ich bin für jede Hilfe dankbar! Edit: Okay, konnte die Datei jetzt doch noch bei Virustotal.com prüfen (hatte ein Häkchen in den Ordneroptionen vergessen. Kein Virenscanner was gefunden bis auf Antiy-AVL: Trojan/Win32.Patched.gen - dasselbe auch in der winlogon.exe, die ich nach lesen eines anderen Threads hier geprüft habe.  Geändert von WinDown (17.01.2010 um 18:56 Uhr) Grund: Hinzugefügt: RSIT Auswertung |
|
18.01.2010, 12:10
| #3 |
| |  Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Okay, hier ist der Log:
__________________Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-18 12:03:19
Windows 5.1.2600 Service Pack 2
Running: bxc9vhwj.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\uwloipob.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB4BB96B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB4BB9574]
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwCreateThread [0xF77F0C40]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB4BB9A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB4BB914C]
SSDT spqu.sys ZwEnumerateKey [0xF74F4CA4]
SSDT spqu.sys ZwEnumerateValueKey [0xF74F5032]
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xF77F08D0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB4BB964E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB4BB908C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB4BB90F0]
SSDT spqu.sys ZwQueryKey [0xF74F510A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB4BB976E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB4BB972E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB4BB98AE]
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xF77F0E70]
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwTerminateProcess [0xF77F0E00]
INT 0x62 ? 89C12BF8
INT 0x63 ? 89C12BF8
INT 0x63 ? 89C12BF8
INT 0x63 ? 898FBBF8
INT 0x63 ? 89C12BF8
INT 0x82 ? 89C12BF8
INT 0x83 ? 898FBBF8
INT 0xA4 ? 898FBBF8
INT 0xB4 ? 898FBBF8
---- Kernel code sections - GMER 1.0.15 ----
? spqu.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7472360, 0x3E57A5, 0xE8000020]
.text USBPORT.SYS!DllUnload B73F862C 5 Bytes JMP 898FB1D8
.text a1apspch.SYS B732D386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text a1apspch.SYS B732D3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text a1apspch.SYS B732D3C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text a1apspch.SYS B732D3C9 1 Byte [30]
.text a1apspch.SYS B732D3C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
.text tcpip.sys!IPTransmit + 10BC B4D2ACFA 6 Bytes CALL F7B11200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 263D B4D2C27B 6 Bytes CALL F7B11200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!ARPRcv + 521E B4D314BE 6 Bytes CALL F7B11200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys B72FA3FD 7 Bytes CALL F7B11350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89BA22D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7507C4C] spqu.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7507CA0] spqu.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D7042] spqu.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D713E] spqu.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D70C0] spqu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D7800] spqu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D76D6] spqu.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 898FB2D8
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlInitUnicodeString] 00021083
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!swprintf] 01B05E00
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeSetEvent] 5DE58B5B
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 7E8366C3
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 0F740028
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 89320C8D
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmFreeMappingAddress] 0002288B
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 46B70F00
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 66D00328
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmUnmapIoSpace] 002A7E83
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 0C8D1574
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IofCompleteRequest] 248B8932
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlCompareUnicodeString] 0F000002
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IofCallDriver] 832A46B7
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmAllocateMappingAddress] E08303C0
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] 66D003FC
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoConnectInterrupt] 002C7E83
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoDetachDevice] 0C8D1E74
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeWaitForSingleObject] 208B8932
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInitializeEvent] 8A000002
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] 83880846
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlInitAnsiString] 000001C0
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] 2C4EB70F
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoQueueWorkItem] 8303C183
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmMapIoSpace] D103FCE1
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 2E7E8366
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoReportDetectedDevice] 8D1C7400
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoReportResourceForDetection] 83893204
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 00000218
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!NlsMbCodePageTag] 2E4EB70F
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoRequestPowerIrp] 021C8B89
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] B70F0000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] E0C12E46
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!sprintf] 03D00304
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 0CB389F2
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ObfDereferenceObject] 80000002
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 0975013E
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 1B42E853
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwClose] C4830000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] B05E5F04
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] E58B5B01
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] CCCCC35D
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoStartNextPowerIrp] CCCCCCCC
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoCallDriver] 53EC8B55
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoCreateDevice] 08758B56
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 0214BE83
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 57000000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwOpenKey] 45C60674
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlFreeUnicodeString] 1EEB010B
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoStartTimer] 020C868B
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInitializeTimer] C0850000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoInitializeTimer] 808A1074
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInitializeDpc] 00000804
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInitializeSpinLock] A03CF024
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoInitializeIrp] 0B45950F
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwCreateKey] 45C604EB
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 458A000B
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 88C0840B
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwSetValueKey] 840F0946
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInsertQueueDpc] 000000C1
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 14B30E8B
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoStartPacket] 1C8286C6
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 88010000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 001C859E
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoFreeMdl] A19E8800
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmUnlockPages] C600001C
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 001C8686
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 86C60100
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 00001CA2
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 70518B01
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeSynchronizeExecution] 8D52006A
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoStartNextPacket] 001C8886
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeBugCheckEx] 55E85000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 8B000023
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeSetTimer] 70518B0E
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeCancelTimer] 8D52016A
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!_allmul] 001CA486
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmProbeAndLockPages] 41E85000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!_except_handler3] 8B000023
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoSetPowerState] 18C4830E
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 1C8D9E88
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 9E880000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!_aulldiv] 00001CA9
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!strstr] 0E798366
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!_strupr] 74AAB000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeQuerySystemTime] 8186C636
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 1A00001C
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeTickCount] 1C8386C6
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] C6020000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoDeleteDevice] 001C8E86
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 86C60200
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateWorkItem] 00001CAA
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateIrp] 959E8802
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateMdl] 8800001C
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CB19E
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmLockPagableDataSection] 96868800
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8800001C
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CB286
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ExFreePoolWithTag] C61AEB00
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoFreeIrp] 001C8186
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoFreeWorkItem] 86C61200
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!InitSafeBootMode] 00001C83
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlCompareMemory] 8E868801
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 8800001C
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!memmove] 001CAA86
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmHighestUserAddress] 80968B00
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KfAcquireSpinLock] 0C8D1C46
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!READ_PORT_UCHAR] B08B8932
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KeGetCurrentIrql] 89000001
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KfRaiseIrql] 0001BC83
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KfLowerIrql] 24468B00
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!HalGetInterruptVector] 89820C8D
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!HalTranslateBusAddress] D18BF84D
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KeStallExecutionProcessor] 860F1639
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KfReleaseSpinLock] 000000BD
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 0208B389
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!READ_PORT_USHORT] 83660000
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 7400067E
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!WRITE_PORT_UCHAR] 89D60320
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[WMILIB.SYS!WmiSystemControl] 8D168B00
IAT \SystemRoot\System32\Drivers\a1apspch.SYS[WMILIB.SYS!WmiCompleteRequest] F0003284
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89C111F8
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\sptd \Device\2978926832 spqu.sys
Device \Driver\usbuhci \Device\USBPDO-0 898FA1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BA01F8
Device \Driver\dmio \Device\DmControl\DmConfig 89BA01F8
Device \Driver\dmio \Device\DmControl\DmPnP 89BA01F8
Device \Driver\dmio \Device\DmControl\DmInfo 89BA01F8
Device \Driver\usbuhci \Device\USBPDO-1 898FA1F8
Device \Driver\usbuhci \Device\USBPDO-2 898FA1F8
Device \Driver\usbuhci \Device\USBPDO-3 898FA1F8
Device \Driver\usbehci \Device\USBPDO-4 898CD1F8
Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\PCI_PNP6832 \Device\00000049 spqu.sys
Device \Driver\PCI_PNP6832 \Device\00000049 spqu.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 89C131F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89C131F8
Device \Driver\Cdrom \Device\CdRom0 8988D1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{064E9B7B-7588-4DA6-A758-1F46E7B70D08} 8955B500
Device \Driver\Ftdisk \Device\HarddiskVolume3 89C131F8
Device \Driver\Cdrom \Device\CdRom1 8988D1F8
Device \Driver\atapi \Device\Ide\IdePort0 89C121F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 89C121F8
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-22 89C121F8
Device \Driver\atapi \Device\Ide\IdePort1 89C121F8
Device \Driver\atapi \Device\Ide\IdePort2 89C121F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 89C121F8
Device \Driver\atapi \Device\Ide\IdePort3 89C121F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-17 89C121F8
Device \Driver\Cdrom \Device\CdRom2 8988D1F8
Device \Driver\Cdrom \Device\CdRom3 8988D1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8955B500
Device \Driver\NetBT \Device\NetbiosSmb 8955B500
Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbuhci \Device\USBFDO-0 898FA1F8
Device \Driver\usbuhci \Device\USBFDO-1 898FA1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8976C1F8
Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\usbuhci \Device\USBFDO-2 898FA1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E6EA086F-C3B1-4D70-B9E0-FEDADF5877CD} 8955B500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8976C1F8
Device \Driver\usbuhci \Device\USBFDO-3 898FA1F8
Device \Driver\usbehci \Device\USBFDO-4 898CD1F8
Device \Driver\Ftdisk \Device\FtControl 89C131F8
Device \Driver\a1apspch \Device\Scsi\a1apspch1Port4Path0Target1Lun0 897D91F8
Device \Driver\a1apspch \Device\Scsi\a1apspch1Port4Path0Target0Lun0 897D91F8
Device \Driver\a1apspch \Device\Scsi\a1apspch1 897D91F8
Device \FileSystem\Cdfs \Cdfs 89740500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xF8 0xBC 0x87 0xBC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x61 0x83 0x44 0x2A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xB9 0x3E 0xAD 0x0C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x8B 0xBB 0x53 0x3F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xF8 0xBC 0x87 0xBC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x61 0x83 0x44 0x2A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xB9 0x3E 0xAD 0x0C ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x8B 0xBB 0x53 0x3F ...
---- EOF - GMER 1.0.15 ----
Edit: Ich hab's geschafft, Malwarebyte's Anti-Malware auszuführen, ohne das es abstürzt - hier auch das Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3583
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
18.01.2010 13:01:09
mbam-log-2010-01-18 (13-01-09).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 105262
Laufzeit: 3 minute(s), 41 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{dcr8702m-381q-3542-ve31-d4438aumd37t} (Generic.Bot.H) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\rundll32.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
Geändert von WinDown (18.01.2010 um 13:02 Uhr) Grund: Hinzugefügt: Anti-Malware Log |
|
18.01.2010, 13:37
| #4 |
 | Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Ok, wie läuft der Rechner jetzt? Sollte es etwas besser geworden sein, versuche einen vollständigen Suchlauf mit Malwarebytes. Ansonsten: * Lade das SDFix von AndyManchesta herunter und speichere es auf dem Desktop. * Mache einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner zu entpacken. * Starte den Computer neu in den abgesicherten Modus (F8 während des Bootvorgangs drücken). * Öffne den neu entstandenen SDFix Ordner in C:\, mache einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Geduld, das kann ca. 20 Minuten dauern. * Das Programm wird alle Trojaner-Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst Du darum gebeten, einen Taste zu drücken, damit Dein Rechner neu starten kann. * Drücke auf eine beliebige Taste. * Wenn der Rechner hochgefahren ist, wird das Fixtool noch einmal laufen, um den Reinigungsprozess zu vervollständigen. * Auch hier ist wieder etwas Geduld gefragt, das kann mehrere Minuten dauern. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf eine beliebige Taste, um das Skript zu beenden und Deine Desktop-Icons wieder zu laden. * Wenn die Desktop-Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt des Report.txt und poste den Bericht hier in den Thread. |
|
18.01.2010, 14:15
| #5 |
| | Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Soweit ich das beurteilen kann hat Anti-Malware bereits alles entfernen können  Die rundll32.exe ist weg, Registryeinträge auch, HijackThis findet nichts mehr. Programme laufen wieder wie gehabt! Danke dennoch für deine Mühe  |
|
18.01.2010, 14:44
| #6 |
| | Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Öhm, das hat im Prinzip nicht viel zu sagen, wir sollten deinen Rechner auf jeden Fall durchcheken. Nur, weil ein Symptom weg ist, muss die Krankheit noch lange nicht besiegt sein  |
|
18.01.2010, 22:10
| #7 |
| | Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Nun gut, dann lasse ich noch einen kompletten Anti-Malware-Scan durchlaufen, wie du gesagt hast. Ergebnis: Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3583
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
18.01.2010 22:09:00
mbam-log-2010-01-18 (22-08-52).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 151607
Laufzeit: 23 minute(s), 27 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
18.01.2010, 22:40
| #8 | |
| | Mal wieder was eingefangen: rundll32.exe Virus/Malware | ProgrammabstürzeZitat:
 |
|
19.01.2010, 13:52
| #9 |
| | Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Das stimmt wohl. Hier: Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2010-01-19 13:47:23 Microsoft Windows XP Professional Service Pack 2 System drive C: has 19 GB (62%) free of 30 GB Total RAM: 2047 MB (64% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:47:30, on 19.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\G DATA Windows XP Styler\StyleXPService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate Personal Firewall\smc.exe C:\Programme\Avast\aswUpdSv.exe C:\Programme\Avast\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avast\ashMaiSv.exe C:\Programme\Avast\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\ALCWZRD.EXE C:\PROGRA~1\Avast\ashDisp.exe C:\Programme\Geburtstagsmanager\burz.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Total Commander\TOTALCMD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQLite\icq.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Xfire\xfire.exe C:\Programme\JetAudio\JetAudio.exe M:\Programme, Maps & Tools\Programme & Tools\RSIT.exe C:\Programme\HijackThis\***.exe O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [Geburtstagsmanager] C:\Programme\Geburtstagsmanager\burz.exe /silent O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255825742484 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C4425679-530A-406E-9423-F6FA72DD5A7D}: NameServer = 195.50.140.248 195.50.140.114 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\G DATA Windows XP Styler\StyleXPService.exe -- End of file - 5055 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-09-27 86016] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-09-27 13918208] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAudPropShortcut.exe [2004-03-17 61952] "AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2004-09-24 2559488] "avast!"=C:\PROGRA~1\Avast\ashDisp.exe [2009-11-25 81000] "SmcService"=C:\PROGRA~1\SYGATE~1\smc.exe [2004-02-24 2372760] "Geburtstagsmanager"=C:\Programme\Geburtstagsmanager\burz.exe [2005-05-10 2236928] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2009-04-23 691656] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-08-24 133120] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\ICQLite\ICQ.exe"="C:\Programme\ICQLite\ICQ.exe:*:Enabled:ICQ Lite" "D:\Call of Duty 4 - Modern Warfare\iw3mp.exe"="D:\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) " "C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent" "D:\Company of Heroes\RelicDownloader\RelicDownloader.exe"="D:\Company of Heroes\RelicDownloader\RelicDownloader.exe:*:Enabled:Relic Downloader" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "D:\Steam\SteamApps\common\zero gear\ZeroGear.bat"="D:\Steam\SteamApps\common\zero gear\ZeroGear.bat:*:Enabled:Zero Gear" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d484486-bb83-11de-a4ad-806d6172696f}] shell\adobe\command - G:\goodies\ar405deu.exe shell\AutoRun\command - G:\aocsetup.exe /autorun shell\log\command - G:\goodies\machine\machine.exe -l shell\machine\command - G:\goodies\machine\machine.exe shell\setup\command - G:\aocsetup.exe /autorun shell\zone\command - G:\goodies\mszone\zonea660.exe ======List of files/folders created in the last 1 months====== 2010-01-19 13:47:23 ----D---- C:\rsit 2010-01-19 12:35:37 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Media Player Classic 2010-01-18 13:10:12 ----A---- C:\WINDOWS\system32\javaws.exe 2010-01-18 13:10:12 ----A---- C:\WINDOWS\system32\javaw.exe 2010-01-18 13:10:12 ----A---- C:\WINDOWS\system32\java.exe 2010-01-18 13:07:52 ----A---- C:\WINDOWS\gmer.exe 2010-01-17 18:03:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2010-01-17 18:03:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-17 18:03:52 ----D---- C:\Programme\Anti-Malware 2010-01-16 23:21:01 ----A---- C:\WINDOWS\system32\ff_vfw.dll.manifest 2010-01-16 23:21:01 ----A---- C:\WINDOWS\system32\ff_vfw.dll 2010-01-16 23:20:59 ----D---- C:\Programme\ffdshow 2010-01-12 20:04:04 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2010-01-12 20:02:24 ----A---- C:\WINDOWS\IsUn0407.exe 2010-01-10 20:11:25 ----A---- C:\WINDOWS\system32\ptpusb.dll 2010-01-10 20:11:24 ----A---- C:\WINDOWS\system32\ptpusd.dll 2009-12-30 23:34:12 ----D---- C:\Programme\Hamachi 2009-12-24 18:45:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech 2009-12-24 18:45:23 ----D---- C:\Programme\Gemeinsame Dateien\Logitech 2009-12-24 18:45:22 ----D---- C:\Programme\Logitech 2009-12-24 18:40:25 ----A---- C:\WINDOWS\system32\hidserv.dll 2009-12-23 15:32:01 ----D---- C:\Programme\OpenAL 2009-12-23 15:32:01 ----A---- C:\WINDOWS\system32\wrap_oal.dll 2009-12-23 15:32:01 ----A---- C:\WINDOWS\system32\OpenAL32.dll 2009-12-23 00:59:32 ----A---- C:\WINDOWS\system32\xfcodec.dll ======List of files/folders modified in the last 1 months====== 2010-01-19 13:47:26 ----D---- C:\Programme\HijackThis 2010-01-19 13:16:18 ----A---- C:\WINDOWS\wincmd.ini 2010-01-19 13:09:31 ----D---- C:\WINDOWS\Prefetch 2010-01-19 13:09:30 ----D---- C:\Programme\dBpowerAMP 2010-01-19 12:48:18 ----D---- C:\Programme\Paint Shop Pro 7 2010-01-19 12:43:53 ----D---- C:\Programme\Mozilla Firefox 2010-01-19 12:36:45 ----D---- C:\WINDOWS\Temp 2010-01-18 22:49:28 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-01-18 22:49:27 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-18 22:44:58 ----D---- C:\Programme\RSD 2010-01-18 19:46:05 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire 2010-01-18 18:45:59 ----RSHD---- C:\WINDOWS 2010-01-18 18:10:07 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ 2010-01-18 14:59:40 ----D---- C:\WINDOWS\system32 2010-01-18 13:23:58 ----HD---- C:\WINDOWS\inf 2010-01-18 13:23:28 ----RSD---- C:\WINDOWS\assembly 2010-01-18 13:23:04 ----D---- C:\WINDOWS\system32\DirectX 2010-01-18 13:10:35 ----SHD---- C:\WINDOWS\Installer 2010-01-18 13:10:09 ----D---- C:\Programme\Java 2010-01-18 13:03:40 ----D---- C:\WINDOWS\system32\drivers 2010-01-17 18:03:52 ----RD---- C:\Programme 2010-01-16 23:25:28 ----A---- C:\WINDOWS\NeroDigital.ini 2010-01-16 23:11:37 ----D---- C:\Programme\XP Codec Pack 2010-01-14 21:42:19 ----SD---- C:\Programme\Xfire 2010-01-13 08:27:44 ----D---- C:\Programme\Sygate Personal Firewall 2010-01-12 20:36:39 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2010-01-12 20:04:04 ----D---- C:\Programme\Gemeinsame Dateien 2010-01-12 20:03:34 ----D---- C:\Programme\Adobe 2010-01-09 23:10:14 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi 2009-12-29 20:23:07 ----D---- C:\Programme\ICQLite 2009-12-24 19:07:52 ----A---- C:\WINDOWS\system32\PnkBstrB.exe 2009-12-24 18:40:31 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-12-23 15:32:07 ----D---- C:\WINDOWS\WinSxS ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-11-25 27408] R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-09-15 114768] R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-11-25 48560] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2006-02-28 40192] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] R1 StyleXPHelper;StyleXPHelper; \??\C:\Programme\G DATA Windows XP Styler\StyleXPHelper.exe [] R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys [] R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560] R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-09-15 94160] R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2002-11-29 16320] R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914] R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-11-25 23120] R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2002-11-28 15360] R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-12-30 25280] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2004-03-17 135168] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2006-02-28 9600] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2004-09-24 2276672] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-02-28 12288] R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-09-27 7655872] R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2004-04-01 10368] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2006-02-28 26624] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2006-02-28 57600] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2006-02-28 20480] R3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-08-24 38656] R3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-08-24 90112] R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2004-10-27 223104] S3 aoi6859v;aoi6859v; C:\WINDOWS\system32\drivers\aoi6859v.sys [] S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2004-03-17 113664] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Avast\aswUpdSv.exe [2009-11-25 18752] R2 avast! Antivirus;avast! Antivirus; C:\Programme\Avast\ashServ.exe [2009-11-25 138680] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376] R2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-09-27 172100] R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-10-22 75064] R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-12-24 215104] R2 SmcService; Sygate Personal Firewall Pro; C:\Programme\Sygate Personal Firewall\smc.exe [2004-02-24 2372760] R2 StyleXPService;StyleXPService; C:\Programme\G DATA Windows XP Styler\StyleXPService.exe [2004-08-24 307200] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2006-02-28 14336] R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Avast\ashMaiSv.exe [2009-11-25 254040] R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Avast\ashWebSv.exe [2009-11-25 352920] R3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-06-29 800040] S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- |
|
19.01.2010, 14:25
| #10 | |
| | Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Das hier ist etwas merkwürdig: Zitat:
Überprüfe bei VirusTotal außerdem: Code:
ATTFilter C:\WINDOWS\system32\xfcodec.dll
|
|
19.01.2010, 17:43
| #11 |
| | Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Zu den oberen kann beruhigt sagen, dass ich die nicht prüfen brauche G: ist nämlich mein CD-ROM-Laufwerk und da liegt zur Zeit Age of Empires 2: The Conquerors drin. ar405.exe ist der Acrobat Reader 4.05, AoC das Setup usw.Da das Game von Microsoft Games publisht wurde bzw. da es schon recht lange im Laufwerk liegt, vermute ich mal, das deswegen die Einträge da sind. Zu der xfcodec.dll: Nix gefunden. Ist laut VirusTotal der Videocodec für Xfire (ein Messenger für Spiele). |
|
19.01.2010, 18:09
| #12 | |
| | Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Nu gut, dann noch ein paar abschließende Tipps: Zitat:
Installiere den neuesten Internet Explorer. Auch, wenn nicht benutzt, sollte man das Ding auf dem neuesten Stand halten, da es sehr tief im System verwurzelt ist und somit einen Angriffspunkt darstellt. Empfehlenswert ist auch Secunia PSI, damit lassen sich etliche installierte Programme auf eine einfache Weise "up to date" halten. Eine Entrümpelung ist ebenfalls nützlich. Gut zu wissen: Kompromittierung unvermeidlich? Das war's von meiner Seite Gruß, Kos |
|
21.01.2010, 19:20
| #13 |
| | Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze Ja, wollte ich sowieso schon 'ne Weile machen. Danke nochmal! |
|
| Themen zu Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze |
| adobe, antivirus, avast, avast!, bho, call of duty, dll, excel, firefox, firewall, fontcache, g data, gservice, hdaudio.sys, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, ip-adresse, log, logfile, löschen, malware, malwarebytes' anti-malware, mozilla, nvidia, plug-in, programme, registry, rundll, rundll32.exe, software, system, total commander, virus, virustotal.com, windows live messenger, windows xp |
Linear-Darstellung
