| |
| |||||||
Log-Analyse und Auswertung: Antivir lässt sich nicht mehr startenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.01.2010, 20:08
| #1 |
| |  Antivir lässt sich nicht mehr starten Hallo, ich hab ein Problem und hoffe, dass mir jemand helfen kann und möchte =) Vor zwei Tagen habe ich von AntiVir eine Trojanerwarnung gekriegt und hab den Trojaner in die Quarantäne geschoben. Ab da kam dann ca. jede Minute eine Warnung vom Internet Explorer, dass ein Problem festgestellt wurde und er beendet werden muss (benutze ihn aber eigentlich gar nicht und wollte auch da nichts von ihm). Seit da funktioniert weder der Windows Media Player noch DivX und Firefox stürzt die ganze Zeit ab. Weiterhin lässt sich weder der AntiVir Control Center noch der Guard starten. Ich bin den Empfehlungen des Boards nachgegangen und hab den CCleaner installiert und durchlaufen lassen. Danach wollte ich die Malwarebytes Anti-Malware installieren, nachdem ich sie auf den Desktop verschoben und angeklickt habe, ist aber wieder nichts passiert (im taskmanager befinden sich jedoch sowohl die AntiVir- als auch die Malwarebytesprozesse). Deshalb bin ich zum nächsten Punkt übergegangen und habe RSIT durchlaufen lassen. Im Folgenden also die logfiles: info.txt logfile of random's system information tool 1.06 2010-01-17 19:45:03 ======Uninstall list====== -->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Acrobat 5.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll" Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe" ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class  ISPLAY -cleanATI HYDRAVISION-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}\setup.exe" Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE BabasChess-->MsiExec.exe /I{93CF9FA6-2A5E-4F8E-923E-F7D8741CB312} BitDefender 8 Professional Plus-->MsiExec.exe /I{74CF5720-A8D1-4DD2-8E2E-129AC9586299} Canon MP Navigator EX 1.2-->"C:\Programme\Canon\MP Navigator EX 1.2\Maint.exe" /UninstallRemove C:\Programme\Canon\MP Navigator EX 1.2\uninst.ini Canon MP190 series Benutzerregistrierung-->C:\Programme\Canon\IJEREG\MP190 series\UNINST.EXE Canon MP190 series MP Drivers-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP190_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP190_series /L0x0007 Canon My Printer-->C:\Programme\Canon\MyPrinter\uninst.exe uninst.ini Canon Utilities Easy-PhotoPrint EX-->C:\Programme\Canon\Easy-PhotoPrint EX\uninst.exe uninst.ini Canon Utilities Solution Menu-->C:\Programme\Canon\SolutionMenu\uninst.exe uninst.ini CCleaner-->"C:\Programme\CCleaner\uninst.exe" Codec Pack - All In 1 6.0.3.0-->C:\WINDOWS\iun6002.exe "C:\Programme\Codec Pack - All In 1\irunin.ini" Die Sims 2 HomeCrafter Plus-->C:\Programme\EA GAMES\Die Sims 2 HomeCrafter Plus\EAUninstall.exe Die Sims 2: Nightlife-->C:\Programme\EA GAMES\Die Sims 2 Nightlife\EAUninstall.exe Die Sims 2: Wilde Campus-Jahre-->C:\Programme\EA GAMES\Die Sims 2 Wilde Campus-Jahre\EAUninstall.exe Die Sims 2-->C:\Programme\EA GAMES\Die Sims 2\EAUninstall.exe Die Sims™ 2 Haustiere-->C:\Programme\EA GAMES\Die Sims 2 Haustiere\EAUninstall.exe DirectX Media Runtime 5.1-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\DXM51.INF,Uninstall.NT DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN Electronic Arts Product Registration-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{D7D50E0C-27DD-4999-BC05-E026B580F93A} /l1031 eMusic - 50 Free MP3 offer-->"C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe" Gimp 2.6.1-->"C:\Programme\Gimp-2.0\setup\unins000.exe" Google Earth-->MsiExec.exe /X{C084BC61-E537-11DE-8616-005056806466} Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall Harry Potter II-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7BF68B83-5057-4D4B-0093-28285EEB9EE3}\setup.exe" -l0x7 Uninstall HijackThis 2.0.2-->"C:\Programme\HijackThis\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly InstallRTC-->MsiExec.exe /X{200F584F-848D-4B6B-B1A1-C74D735F18A4} IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe iTunes-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{59C4F14F-7590-45FC-BE9F-A67AB3590709} /l1031 J2SE Runtime Environment 5.0 Update 10-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100} J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110} J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060} J2SE Runtime Environment 5.0 Update 9-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090} Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5} Last.fm 1.3.2.13-->"C:\Programme\Last.fm\unins000.exe" Macrogaming SweetIM 1.2a-->MsiExec.exe /X{872D953F-933F-4F8A-BDC9-A84AFA0098F4} Micrografx Instant 3D 1.2-->C:\WINDOWS\mgxclean.exe I3D.APP Micrografx PhotoMagic 6-->C:\WINDOWS\mgxclean.exe Magic6.app Micrografx Picture Publisher 8-->C:\WINDOWS\mgxclean.exe /r"SOFTWARE\Micrografx\Uninstaller4" pp80.app leadpp8.app cms.app Micrografx Simply 3D 3-->C:\WINDOWS\MGXCLEAN.EXE /r"SOFTWARE\Micrografx\Uninstaller4" S3D3Cat.app S3D3.app leads3d3.app Micrografx Windows Draw 6-->C:\WINDOWS\MGXCLEAN.EXE DRAW6.APP FONTS.APP Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft AutoRoute 2002-->MsiExec.exe /I{F7F2DC0A-C22E-49AD-AD37-797309A54E7B} Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570} Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Encarta Enzyklopädie 2003-->MsiExec.exe /I{03440014-3975-4267-9F39-1DC4745090B7} Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC} Microsoft Picture It! Foto 7.0-->MsiExec.exe /I{369B36BE-3D64-4641-9AEA-808D436FE132} Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7} Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00} Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8} Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5} Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft Word 2002-->MsiExec.exe /I{911B0407-6000-11D3-8CFE-0050048383C9} Microsoft Works 2003-Setup-Start-->C:\Programme\Microsoft Works Suite 2003\Setup\Launcher.exe H:\ Microsoft Works 7.0 -->MsiExec.exe /I{EDDDC607-91D9-4758-9F57-265FDCD8A772} Microsoft Works Suite-Add-Ins für Microsoft Word-->MsiExec.exe /I{7CDBE27D-87EC-434E-AFE4-D0116AE876BB} Miranda IM-->"C:\Programme\Miranda IM\Uninstall\unins000.exe" Mozilla Firefox (3.0.17)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94} MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} NVIDIA nForce Drivers-->C:\WINDOWS\System32\nvuninst.exe Uninstall C:\WINDOWS\System32\NVU001.nvu,NVIDIA nForce Drivers OpenOffice.org 2.4-->MsiExec.exe /I{43721D86-16D1-46BF-8353-37CD82333BC3} Pinnacle TRex-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9313E9A6-03DF-11D5-88F8-005004361016}\Setup.exe" -l0x7 UNINSTALL Playchess-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{70D9854A-CEF5-4BCF-B37A-0AA1AB0A83CF}\setup.exe" -l0x7 -removeonly PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall QuickTime-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{929408E6-D265-4174-805F-81D1D914E2A4} /l1031 SCR3xx USB Smart Card Reader-->MsiExec.exe /I{A8A897D0-327B-4E7D-91D9-7A3C39C025EF} Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7} Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} SweetIM For Internet Explorer 1.0a-->MsiExec.exe /X{BBB1528C-2F8C-4526-9C8E-699F17AF21CA} TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe ToolBar888-->C:\Programme\ToolBar888\Uninst.exe Trust WB-1400T Webcam-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{F6CE1230-A694-4B86-B21C-A11A112689DA} /l1031 Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe" Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe" Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe" Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4} Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6} Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52} Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F} Windows Live Family Safety-->MsiExec.exe /X{994223F3-A99B-4DDD-9E1D-0190A17C6860} Windows Live Fotogalerie-->MsiExec.exe /X{2BA722D1-48D1-406E-9123-8AE5431D63EF} Windows Live Mail-->MsiExec.exe /I{C4D738F7-996A-4C81-B8FA-C4E26D767E41} Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB} Windows Live Sync-->MsiExec.exe /X{76618402-179D-4699-A66B-D351C59436BC} Windows Live Toolbar-->MsiExec.exe /X{70B7A167-0B88-445D-A3EA-97C73AA88CAC} Windows Live Writer-->MsiExec.exe /X{E0A4805D-280A-4DD7-9E74-3A5F85E302A1} Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238} Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe WorldView 2.1 for Internet Explorer-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\WorldView 2.1 for Internet Explorer\Uninst.isu" ======Security center information====== AV: Avira AntiVir PersonalEdition Classic AV: BitDefender 8 Professional Plus (disabled) (outdated) AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: AntiVir Desktop (disabled) (outdated) AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic FW: BitDefender 8 Professional Plus (disabled) ======System event log====== Computer Name: **** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet. Record Number: 94358 Source Name: Service Control Manager Time Written: 20091220163505.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: **** Event Code: 7036 Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet". Record Number: 94357 Source Name: Service Control Manager Time Written: 20091220134600.000000+060 Event Type: Informationen User: Computer Name: **** Event Code: 7036 Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Ausgeführt". Record Number: 94356 Source Name: Service Control Manager Time Written: 20091220134500.000000+060 Event Type: Informationen User: Computer Name: **** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Google Software Updater" gesendet. Record Number: 94355 Source Name: Service Control Manager Time Written: 20091220134500.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: EINSTEIN Event Code: 7036 Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet". Record Number: 94354 Source Name: Service Control Manager Time Written: 20091220113100.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: EINSTEIN Event Code: 4096 Message: Der AntiVir Dienst wurde erfolgreich gestartet! Record Number: 8333 Source Name: Avira AntiVir Time Written: 20090926115738.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: EINSTEIN Event Code: 0 Message: Service started Record Number: 8332 Source Name: SeaPort Time Written: 20090926115735.000000+120 Event Type: Informationen User: Computer Name: EINSTEIN Event Code: 0 Message: Record Number: 8331 Source Name: gusvc Time Written: 20090926115735.000000+120 Event Type: Informationen User: Computer Name: EINSTEIN Event Code: 0 Message: Record Number: 8330 Source Name: gupdate1c99da91e8f9a32 Time Written: 20090926115735.000000+120 Event Type: Informationen User: Computer Name: EINSTEIN Event Code: 105 Message: The service was started. Record Number: 8329 Source Name: ATI Smart Time Written: 20090926115729.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\ "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD "PROCESSOR_REVISION"=0a00 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "CLASSPATH"=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- Logfile of random's system information tool 1.06 (written by random/random) Run by Laura at 2010-01-17 19:44:56 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 10 GB (7%) free of 145 GB Total RAM: 511 MB (27% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:44:59, on 17.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe C:\WINDOWS\system32\sstray.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\OpenOffice.org 2.4\program\soffice.exe C:\Programme\OpenOffice.org 2.4\program\soffice.BIN C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\Dokumente und Einstellungen\Laura\Desktop\mbam-setup.exe C:\Dokumente und Einstellungen\Laura\Desktop\mbam-setup.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Laura\Desktop\mbam-setup.exe C:\Dokumente und Einstellungen\Laura\Desktop\mbam-setup.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Laura\Desktop\RSIT.exe C:\Programme\HijackThis\Laura.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: (no name) - {B80E8CF8-1F48-4376-8F33-123793A37293} - (no file) O2 - BHO: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file) O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file) O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab50997.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Google Update Service (gupdate1c99da91e8f9a32) (gupdate1c99da91e8f9a32) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 10039 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job C:\WINDOWS\tasks\Google Software Updater.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D}] XTTBPos00 Class - C:\PROGRA~1\ICQTOO~1\toolbaru.dll [2006-12-25 701952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-04-16 37808] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}] Search Helper - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll [2009-05-19 137600] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-03-23 668656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B80E8CF8-1F48-4376-8F33-123793A37293}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}] Windows Live Toolbar Helper - C:\Programme\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-08-16 962808] {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} {21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Programme\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "HydraVisionDesktopManager"=C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe [2003-09-15 270336] "nForce Tray Options"=sstray.exe /r [] "SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784] "Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe [2002-07-24 28672] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2006-04-04 155648] "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe [2006-04-23 40960] "BDOESRV"=C:\Programme\Softwin\BitDefender8\bdoesrv.exe [2005-03-11 90112] "BDNewsAgent"=C:\Programme\Softwin\BitDefender8\bdnagent.exe [2006-09-11 8192] "CanonSolutionMenu"=C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe [2007-10-25 652624] "CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe [2007-09-13 1603152] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2008-04-14 172544] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe [2006-02-23 278528] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [2005-01-12 32768] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Programme\Winamp\winampa.exe [2006-06-21 35328] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Last.fm Helper.lnk] C:\PROGRA~1\Last.fm\LASTFM~1.EXE [2007-09-18 110592] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE C:\Dokumente und Einstellungen\Laura\Startmenü\Programme\Autostart OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"=" sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2006-02-22 61440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Miranda IM\miranda32.exe"="C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM" "C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Last.fm\LastFM.exe"="C:\Programme\Last.fm\LastFM.exe:*:Enabled:Last.fm" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath " "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync" ======List of files/folders created in the last 1 months====== 2010-01-17 19:44:56 ----D---- C:\rsit 2010-01-17 19:23:06 ----D---- C:\Programme\CCleaner 2010-01-17 19:00:48 ----D---- C:\Programme\HijackThis 2010-01-17 18:48:36 ----HDC---- C:\WINDOWS\ie8 2010-01-17 18:15:43 ----D---- C:\Programme\Avira 2010-01-17 18:15:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2010-01-16 16:11:25 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini 2010-01-14 00:23:27 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$ 2010-01-14 00:23:14 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$ ======List of files/folders modified in the last 1 months====== 2010-01-17 19:42:12 ----D---- C:\Programme\Mozilla Firefox 2010-01-17 19:40:10 ----RASH---- C:\boot.ini 2010-01-17 19:40:10 ----A---- C:\WINDOWS\win.ini 2010-01-17 19:40:10 ----A---- C:\WINDOWS\system.ini 2010-01-17 19:40:07 ----D---- C:\WINDOWS\Temp 2010-01-17 19:40:07 ----D---- C:\WINDOWS\system32 2010-01-17 19:39:38 ----SD---- C:\WINDOWS\Tasks 2010-01-17 19:39:36 ----D---- C:\WINDOWS 2010-01-17 19:38:01 ----D---- C:\Dokumente und Einstellungen\Laura\Anwendungsdaten\OpenOffice.org2 2010-01-17 19:36:39 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-01-17 19:30:31 ----D---- C:\WINDOWS\Minidump 2010-01-17 19:30:31 ----D---- C:\WINDOWS\Debug 2010-01-17 19:23:06 ----RD---- C:\Programme 2010-01-17 18:57:36 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-17 18:51:22 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-01-17 18:51:22 ----D---- C:\WINDOWS\system32\de-de 2010-01-17 18:51:22 ----D---- C:\WINDOWS\Help 2010-01-17 18:51:22 ----D---- C:\Programme\Internet Explorer 2010-01-17 18:50:15 ----HD---- C:\WINDOWS\inf 2010-01-17 18:50:04 ----D---- C:\WINDOWS\WBEM 2010-01-17 18:49:56 ----D---- C:\WINDOWS\Media 2010-01-17 18:37:30 ----D---- C:\WINDOWS\pss 2010-01-17 18:22:48 ----D---- C:\WINDOWS\ie8updates 2010-01-17 18:15:59 ----D---- C:\WINDOWS\system32\drivers 2010-01-17 18:15:11 ----SHD---- C:\WINDOWS\Installer 2010-01-17 18:15:11 ----D---- C:\WINDOWS\WinSxS 2010-01-17 18:15:11 ----D---- C:\Config.Msi 2010-01-17 17:54:38 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2010-01-16 16:11:34 ----D---- C:\WINDOWS\Prefetch 2010-01-14 12:07:27 ----D---- C:\WINDOWS\AppPatch 2010-01-14 00:23:25 ----HD---- C:\WINDOWS\$hf_mig$ 2010-01-07 14:25:23 ----D---- C:\Programme\ICQ6.5 2010-01-05 01:17:46 ----A---- C:\WINDOWS\system32\MRT.exe 2009-12-23 11:17:56 ----D---- C:\Programme\Google ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816] R2 FILESpy;FILESpy; \??\C:\Programme\Softwin\BitDefender8\filespy.sys [] R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys [2009-08-05 54752] R2 REGSpy;REGSpy; \??\C:\Programme\Softwin\BitDefender8\regspy.sys [] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2006-02-22 1505792] R3 ATIAVAIW;ATI T200 Unified AVStream service; C:\WINDOWS\System32\DRIVERS\atinavt2.sys [2006-02-01 163968] R3 dtscsi;dtscsi; C:\WINDOWS\System32\Drivers\dtscsi.sys [2006-03-18 223128] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2005-02-02 14408] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2003-06-17 30336] R3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2003-06-17 286976] R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-04 20992] R3 SCR3XX2K;SCR3xx USB SmartCardReader; C:\WINDOWS\system32\DRIVERS\SCR3XX2K.sys [2007-06-21 56448] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152] R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 MPE;BDA MPE Filter; C:\WINDOWS\System32\DRIVERS\MPE.sys [2008-04-13 15232] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 NVENET;NVIDIA nForce MCP Networking Controller Driver; C:\WINDOWS\System32\DRIVERS\NVENET.sys [2002-11-27 80896] S3 PAC207;Trust WB-1400T Webcam; C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 162176] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] S3 STCFUx32;STC DFU Driver; C:\WINDOWS\system32\DRIVERS\STCFUx32.SYS [2007-01-24 7680] S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-02-22 405504] R2 bdss;BitDefender Scan Server; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe [2005-01-24 69632] R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-08-16 222968] R2 SeaPort;SeaPort; C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512] R2 STI Simulator;STI Simulator; C:\WINDOWS\System32\PAStiSvc.exe [2005-01-14 53248] R2 VSSERV;BitDefender Virus Shield; C:\Programme\Softwin\BitDefender8\vsserv.exe [2006-09-11 90112] R2 XCOMM;BitDefender Communicator; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe [2004-02-24 69632] S2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] S2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-02-21 520192] S2 gupdate1c99da91e8f9a32;Google Update Service (gupdate1c99da91e8f9a32); C:\Programme\Google\Update\GoogleUpdate.exe [2009-03-05 133104] S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-23 183280] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 fsssvc;Windows Live Family Safety-Dienst; C:\Programme\Windows Live\Family Safety\fsssvc.exe [2009-08-05 704864] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 iPodService;iPodService; C:\Programme\iPod\bin\iPodService.exe [2006-02-23 323584] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:02:46, on 17.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe C:\WINDOWS\system32\sstray.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\OpenOffice.org 2.4\program\soffice.exe C:\Programme\OpenOffice.org 2.4\program\soffice.BIN C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: (no name) - {B80E8CF8-1F48-4376-8F33-123793A37293} - C:\WINDOWS\System32\jgsd400d.dll (file missing) O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing) O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing) O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab50997.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Google Update Service (gupdate1c99da91e8f9a32) (gupdate1c99da91e8f9a32) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 10058 bytes |
|
17.01.2010, 20:38
| #2 |
  | Antivir lässt sich nicht mehr starten Hi,
__________________Adware etc. aber nichts was den Start verhindern sollte, riecht nach Rootkit... Beende die MAM-Installationsprozesse im Taskmanager, nenne die MAM-Installation auf test.exe um, installiere. Gehe dann in's Verzeichnis wo Du MAM installiert hast und nenne die mbam.exe auf testle.exe um und versuche sie zu starten... Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
|
18.01.2010, 21:00
| #3 |
| | Antivir lässt sich nicht mehr starten Wow. Vielen Dank.
__________________Nach dem mbamdurchlauf (und dem Löschen von dem Zeug, das dort gefunden wurde) und einem Neustart ist sogar der AntiVirGuard gestartet. Für mich schon mal ein gutes Zeichen ^^ Hier also das mbam- und das GMER- Berichtding. Das ist wirklich viel Lesestoff. Und sagt mir alles rein gar nichts. Aber vielleicht ja jemand anderem.. Tausend Dank schon mal  Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3584 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 17.01.2010 23:48:22 mbam-log-2010-01-17 (23-48-22).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 321391 Laufzeit: 1 hour(s), 0 minute(s), 2 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj.1 (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888 (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\InetGet2 (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully. GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-18 20:44:27 Windows 5.1.2600 Service Pack 3 Running: o7l40ivg.exe; Driver: C:\DOKUME~1\Laura\LOKALE~1\Temp\kxlcapog.sys ---- System - GMER 1.0.15 ---- Code 82C3D940 ZwEnumerateKey Code 82C2AD28 ZwFlushInstructionCache Code 82C3DE76 IofCallDriver Code 82C3E816 IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 82C3DE7B .text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 82C3E81B PAGE ntoskrnl.exe!ZwFlushInstructionCache 8056E42A 5 Bytes JMP 82C2AD2C PAGE ntoskrnl.exe!ZwEnumerateKey 805735A4 5 Bytes JMP 82C3D944 ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ? C:\WINDOWS\System32\Drivers\SPTD1085.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF8A3BC9E] .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 1 F7ED44D1 15 Bytes [46, B3, 91, F5, 84, 94, 5B, ...] .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11 F7ED44E1 31 Bytes [30, ED, F7, EB, 23, 2F, 1F, ...] ? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\ctfmon.exe[184] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\ctfmon.exe[184] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CF000A .text C:\WINDOWS\system32\ctfmon.exe[184] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\ctfmon.exe[184] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\ctfmon.exe[184] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\ctfmon.exe[184] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\ctfmon.exe[184] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\ctfmon.exe[184] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\ctfmon.exe[184] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\ctfmon.exe[184] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\ctfmon.exe[184] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00FF000A .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.exe[376] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0217000A .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\OpenOffice.org 2.4\program\soffice.BIN[396] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00393140 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E7000A .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 00392D70 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 00392D00 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00393110 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] WS2_32.dll!bind 71A14480 5 Bytes JMP 003930D0 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] WS2_32.dll!connect 71A14A07 5 Bytes JMP 00392E00 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] WS2_32.dll!send 71A14C27 5 Bytes JMP 00392B00 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 00392DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 00392AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Dokumente und Einstellungen\Laura\Desktop\o7l40ivg.exe[588] WS2_32.dll!accept 71A21040 5 Bytes JMP 00392FE0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 009E000A .text C:\WINDOWS\system32\services.exe[636] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\services.exe[636] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00B6000A .text C:\WINDOWS\system32\savedump.exe[652] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\savedump.exe[652] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A6000A .text C:\WINDOWS\system32\lsass.exe[660] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\lsass.exe[660] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DE000A .text C:\WINDOWS\system32\Ati2evxx.exe[828] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[828] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\spoolsv.exe[1344] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CE000A .text C:\WINDOWS\System32\SCardSvr.exe[1396] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\System32\SCardSvr.exe[1396] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A6000A .text C:\WINDOWS\System32\SCardSvr.exe[1396] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\System32\SCardSvr.exe[1396] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\System32\SCardSvr.exe[1396] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\System32\SCardSvr.exe[1396] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\System32\SCardSvr.exe[1396] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\System32\SCardSvr.exe[1396] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\System32\SCardSvr.exe[1396] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\System32\SCardSvr.exe[1396] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\System32\SCardSvr.exe[1396] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\System32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DE000A .text C:\WINDOWS\system32\Ati2evxx.exe[1628] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\Ati2evxx.exe[1628] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E7000A .text C:\WINDOWS\Explorer.EXE[1728] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\Explorer.EXE[1728] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00D8000A .text C:\WINDOWS\system32\dwwin.exe[1856] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\dwwin.exe[1856] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00383140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E3000A .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 00382D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 00382D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00383110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] WS2_32.dll!bind 71A14480 5 Bytes JMP 003830D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] WS2_32.dll!connect 71A14A07 5 Bytes JMP 00382E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] WS2_32.dll!send 71A14C27 5 Bytes JMP 00382B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 00382DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 00382AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe[1952] WS2_32.dll!accept 71A21040 5 Bytes JMP 00382FE0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E1000A .text C:\WINDOWS\system32\sstray.exe[1960] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\WINDOWS\system32\sstray.exe[1960] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DB000A .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[1968] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 003A3140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DC000A .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 003A2D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 003A2D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 003A3110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] WS2_32.dll!bind 71A14480 5 Bytes JMP 003A30D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] WS2_32.dll!connect 71A14A07 5 Bytes JMP 003A2E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] WS2_32.dll!send 71A14C27 5 Bytes JMP 003A2B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 003A2DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 003A2AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe[1976] WS2_32.dll!accept 71A21040 5 Bytes JMP 003A2FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DA000A .text C:\Programme\QuickTime\qttask.exe[1984] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\QuickTime\qttask.exe[1984] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00953140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E7000A .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 00952D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 00952D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00953110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] WS2_32.dll!bind 71A14480 5 Bytes JMP 009530D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] WS2_32.dll!connect 71A14A07 5 Bytes JMP 00952E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] WS2_32.dll!send 71A14C27 5 Bytes JMP 00952B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 00952DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 00952AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Macrogaming\SweetIM\SweetIM.exe[1992] WS2_32.dll!accept 71A21040 5 Bytes JMP 00952FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00D9000A .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdoesrv.exe[2008] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 003A3140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DC000A .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 003A2D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 003A2D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 003A3110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] WS2_32.dll!bind 71A14480 5 Bytes JMP 003A30D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] WS2_32.dll!connect 71A14A07 5 Bytes JMP 003A2E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] WS2_32.dll!send 71A14C27 5 Bytes JMP 003A2B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 003A2DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 003A2AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Softwin\BitDefender8\bdnagent.exe[2016] WS2_32.dll!accept 71A21040 5 Bytes JMP 003A2FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 10003140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00F2000A .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 10002D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 10002D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 10003110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] WS2_32.dll!bind 71A14480 5 Bytes JMP 100030D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] WS2_32.dll!send 71A14C27 5 Bytes JMP 10002B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 10002DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 10002AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Canon\MyPrinter\BJMyPrt.exe[2032] WS2_32.dll!accept 71A21040 5 Bytes JMP 10002FE0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 003C3140 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00FA000A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] WS2_32.dll!sendto 71A12F51 5 Bytes JMP 003C2D70 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] WS2_32.dll!recvfrom 71A12FF7 5 Bytes JMP 003C2D00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 003C3110 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] WS2_32.dll!bind 71A14480 5 Bytes JMP 003C30D0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] WS2_32.dll!connect 71A14A07 5 Bytes JMP 003C2E00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] WS2_32.dll!send 71A14C27 5 Bytes JMP 003C2B00 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] WS2_32.dll!gethostbyname 71A15355 5 Bytes JMP 003C2DD0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] WS2_32.dll!listen 71A18CD3 5 Bytes JMP 003C2AC0 C:\WINDOWS\system32\sockspy.dll .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2040] WS2_32.dll!accept 71A21040 5 Bytes JMP 003C2FE0 C:\WINDOWS\system32\sockspy.dll ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F8693DB2] sptd.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F86A971E] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F86943B2] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F86942B6] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F8694482] sptd.sys IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F86A9032] sptd.sys IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F8693F6E] sptd.sys IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F86A8C76] sptd.sys IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F8693E06] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F8686A32] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F8686B6E] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F8686AF6] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F86876CC] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F86875A2] sptd.sys IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F86A9864] sptd.sys IAT \WINDOWS\System32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F8698F78] sptd.sys IAT \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F86A8C76] sptd.sys IAT \SystemRoot\System32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F86A9864] sptd.sys IAT \SystemRoot\System32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F8686020] sptd.sys IAT \SystemRoot\System32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F8686020] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 82F90E30 Device \FileSystem\Fastfat \FatCdrom 82DF58C0 Device \FileSystem\Udfs \UdfsCdRom 82BF5B30 Device \FileSystem\Udfs \UdfsDisk 82BF5B30 Device \FileSystem\Fastfat \Fat 82DF58C0 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\H8SRTrjixurujov.sys (*** hidden *** ) EFBC2000-EFBDF000 (118784 bytes) ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\H8SRTtputfoprww.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [580] 0x00760000 Library \\?\globalroot\systemroot\system32\H8SRTtputfoprww.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [956] 0x009F0000 Library \\?\globalroot\systemroot\system32\H8SRTtputfoprww.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1024] 0x009F0000 Library \\?\globalroot\systemroot\system32\H8SRTtputfoprww.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1076] 0x009F0000 Library \\?\globalroot\systemroot\system32\H8SRTtputfoprww.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1176] 0x009F0000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\H8SRTrjixurujov.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrjixurujov.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrjixurujov.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTdphoscdjoo.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTdpxwnkbpba.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTbrsvxhlbql.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTtputfoprww.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTqppjwichxj.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA8 0x61 0x5B 0x87 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x86 0x88 0x9D 0x9D ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCB 0x57 0xCA 0x5A ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA8 0x61 0x5B 0x87 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x86 0x88 0x9D 0x9D ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x66 0xFB 0x97 0x3F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA8 0x61 0x5B 0x87 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x86 0x88 0x9D 0x9D ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCB 0x57 0xCA 0x5A ... Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrjixurujov.sys Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrjixurujov.sys Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTdphoscdjoo.dll Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTdpxwnkbpba.dat Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTbrsvxhlbql.dll Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTtputfoprww.dll Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTqppjwichxj.dll Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA8 0x61 0x5B 0x87 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x86 0x88 0x9D 0x9D ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCB 0x57 0xCA 0x5A ... ---- Files - GMER 1.0.15 ---- File C:\Dokumente und Einstellungen\Laura\Lokale Einstellungen\Temp\H8SRTd5ea.tmp 343040 bytes executable File C:\Dokumente und Einstellungen\Laura\Lokale Einstellungen\Temp\h8srtmainqt.dll 16656 bytes ---- EOF - GMER 1.0.15 ---- |
|
18.01.2010, 21:34
| #4 |
| | Antivir lässt sich nicht mehr starten Hi, der Rootkit ist noch da und wurde von MAM nicht ausgeschaltet... Daher: Bereinigung für Rootkit "H8SRTd" Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop: (Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html)  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete:
H8SRTd.sys
4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
18.01.2010, 23:46
| #5 |
| | Antivir lässt sich nicht mehr starten sooo. endlich. also.. erstens: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd.sys" not found! Deletion of driver "H8SRTd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. und zweitens: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3584 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.01.2010 23:30:37 mbam-log-2010-01-18 (23-30-26).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 321165 Laufzeit: 1 hour(s), 41 minute(s), 27 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 10 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{F2FC45DE-6851-4FF0-BF11-4B07E9EB4B72}\RP1236\A0245259.exe (Trojan.Banker) -> No action taken. C:\WINDOWS\system32\H8SRTbrsvxhlbql.dll (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\H8SRTdphoscdjoo.dll (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\H8SRTqppjwichxj.dll (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\H8SRTtputfoprww.dll (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\H8SRTdpxwnkbpba.dat (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\drivers\H8SRTrjixurujov.sys (Rootkit.TDSS) -> No action taken. C:\Dokumente und Einstellungen\Laura\Lokale Einstellungen\Temp\H8SRTd5ea.tmp (Rootkit.TDSS) bei den ganzen gefundenen Sachen hab ich wie gestern alle Haken hingemacht und bin dann auf "Auswahl entfernen". Wieder und wieder danke. Ich bin hier völlig unwissend. |
|
19.01.2010, 08:39
| #6 |
| | Antivir lässt sich nicht mehr starten Hi, lass bitte noch Avira laufen: Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! Poste dann ein neues RSIT-Log und GMER-Log... chris
__________________ --> Antivir lässt sich nicht mehr starten |
|
| Themen zu Antivir lässt sich nicht mehr starten |
| .com, 1.exe, antivir, antivir guard, avgnt, avgnt.exe, avgntflt.sys, bho, control center, desktop, einstellungen, firefox, flash player, fontcache, gupdate, hkus\s-1-5-18, install.exe, installation, internet, internet explorer, mp3, msiexec.exe, problem, realtek, registry, rundll, security, server, skype.exe, software, starten, sweetim, system, taskmanager, usb, windows, windows xp |
Linear-Darstellung
