| |
| |||||||
Log-Analyse und Auswertung: Maleware, Trojaner oder sonstwas hartnäckigesWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
19.01.2010, 10:52
| #1 |
 |  Maleware, Trojaner oder sonstwas hartnäckiges Hallo Forengemeinde, Zunächst schonmal ein großes Dankeschön an all die freiwilligen Helfer, die sich hier die Mühe machen die PC fremder Leute zu entwurmen. Ihr seit klasse!  Nun zum eigentlichen Problem. Seit Tagen beschäftigt mich ein verseuchter PC. Blöderweise mein verseuchter PC. Ich habe mir einiges eingefangen (Details in den Log-Files) und auch schon einiges selbst beheben können. Das einzige was noch übrig ist, ist folgendes Problem: In unregelmäßigen Abständen öffnet sich ein neuer Tab im Firefox (3.5.7), der mich zu irgendwelchen Seiten führt. (Handyortung, oder anderer  ) Und genau das muss aufhören. Das nervt. Wo finde ich den Verantwortlichen? - Nein, nicht den Coder. Die verantwortliche Datei. Den Wurm, Trojaner, Hijacker, Whatever.Denn leider sind sämliche Suchläufe von AV und Malewarebytes ohne Ergebnis. Hin und wieder tauchen Öffnungen in der Windowsfirewall auf, die den Namen "sppourt" tragen. Vielleicht habt ihr eine Ahnung, was das sein kann, oder welche Software das bereinigen kann. Vielen Dank, millennia100 Edit 1: Nach einigem Suchen hier im Board, bin ich auf eine Google-Anzeige gestoßen, die mich zum Spywar-Doctor geführt hat. Der findet tatsächlich so einiges auf dem Rechner - ist aber nicht frei verfügbar. Gibt es eine Alternative um folgendes zu entfernen?  Gefunden wurden:
Hier eine detailierte Auflistung der Dinge, die von Avira Free gefunden wurden: Code:
ATTFilter C:\WINDOWS\system32\drivers\tfxwb.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Nixoa.1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bcc6d04.qua erstellt ( QUARANTÄNE )
Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3584
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
18.01.2010 18:32:22
mbam-log-2010-01-18 (18-32-22).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 223266
Laufzeit: 1 hour(s), 23 minute(s), 49 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 8
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
c:\documents and settings\all users\application data\apple computer\sp.DLL (TrojanProxy.Agent) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spservice (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{96afbe69-c3b0-4b00-8578-d933d2896ee2} (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a5bf49a2-94f1-42bd-f434-3604812c807d} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{96afbe69-c3b0-4b00-8578-d933d2896ee2} (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc (TrojanProxy.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateien:
c:\documents and settings\all users\application data\apple computer\sp.DLL (TrojanProxy.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tfxwb.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Local Settings\Temp\hi.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Local Settings\Temp\dfgdgdfgrgdgfdrdfs.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
Code:
ATTFilter
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
º º
hjtscanlist v2.0
º º
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
Microsoft Windows XP [Version 5.1.2600]
C:
C:\hiberfil.sys ---------
C:\pagefile.sys ---------
18.01.2010 21:53 C:\Program Files --------- 0
18.01.2010 18:32 C:\WINDOWS --------- 0
18.01.2010 12:27 C:\boot.ini --------- 222
18.01.2010 08:00 C:\aaw7boot.log --------- 2458
17.01.2010 16:35 C:\RECYCLER --------- 0
17.01.2010 16:33 C:\cbdll.exe --------- 113893
15.01.2010 21:15 C:\Documents and Settings --------- 0
15.01.2010 21:15 C:\System Volume Information --------- 0
15.01.2010 21:13 C:\MSDOS.SYS --------- 0
15.01.2010 21:13 C:\AUTOEXEC.BAT --------- 0
15.01.2010 21:13 C:\CONFIG.SYS --------- 0
15.01.2010 21:13 C:\IO.SYS --------- 0
11.12.2009 23:23 C:\DriverPack_CPU_wnt5_x86-32.ini --------- 459
06.02.2009 04:05 C:\DriverPack_Chipset_wnt5_x86-32.ini --------- 1350
27.01.2009 09:17 C:\makePNF.exe --------- 20992
27.01.2009 09:17 C:\devcon.exe --------- 55808
07.01.2009 22:44 C:\DriverPack_MassStorage_wnt5_x86-32.ini --------- 112242
28.12.2008 19:46 C:\DriverPack_LAN_wnt5_x86-32.ini --------- 776
13.04.2008 22:01 C:\ntldr --------- 250048
13.04.2008 20:13 C:\NTDETECT.COM --------- 47564
30.03.2008 03:11 C:\D --------- 0
----------------------------------------
C:\WINDOWS
19.01.2010 10:28 C:\WINDOWS\WindowsUpdate.log --------- 46108
19.01.2010 10:22 C:\WINDOWS\0.log --------- 0
19.01.2010 10:21 C:\WINDOWS\bootstat.dat --------- 2048
19.01.2010 09:53 C:\WINDOWS\SchedLgU.Txt --------- 4212
18.01.2010 12:27 C:\WINDOWS\win.ini --------- 92
18.01.2010 12:27 C:\WINDOWS\system.ini --------- 227
18.01.2010 12:26 C:\WINDOWS\seRapid.INI --------- 1413
18.01.2010 12:04 C:\WINDOWS\setupapi.log --------- 845188
18.01.2010 11:31 C:\WINDOWS\ie7_main.log --------- 753
18.01.2010 10:21 C:\WINDOWS\wiadebug.log --------- 216
18.01.2010 08:02 C:\WINDOWS\wiaservc.log --------- 50
17.01.2010 19:18 C:\WINDOWS\ntbtlog.txt --------- 2764716
17.01.2010 15:01 C:\WINDOWS\chipset.log --------- 1248
16.01.2010 11:05 C:\WINDOWS\CMISETUP.INI --------- 92
16.01.2010 11:05 C:\WINDOWS\CMCDPLAY.INI --------- 26
15.01.2010 22:07 C:\WINDOWS\regopt.log --------- 1662
15.01.2010 22:06 C:\WINDOWS\Sti_Trace.log --------- 0
15.01.2010 22:02 C:\WINDOWS\setuperr.log --------- 0
15.01.2010 21:21 C:\WINDOWS\nsreg.dat --------- 0
15.01.2010 21:20 C:\WINDOWS\ativpsrm.bin --------- 0
15.01.2010 21:16 C:\WINDOWS\OEWABLog.txt --------- 661
15.01.2010 21:15 C:\WINDOWS\setuplog.txt --------- 577963
15.01.2010 21:15 C:\WINDOWS\oobeact.log --------- 52
15.01.2010 21:15 C:\WINDOWS\REGLOCS.OLD --------- 8192
15.01.2010 21:14 C:\WINDOWS\ntdtcsetup.log --------- 8427
15.01.2010 21:14 C:\WINDOWS\tsoc.log --------- 9682
15.01.2010 21:14 C:\WINDOWS\comsetup.log --------- 16183
15.01.2010 21:14 C:\WINDOWS\setupact.log --------- 99661
15.01.2010 21:13 C:\WINDOWS\KB976098-v2.log --------- 5147
15.01.2010 21:13 C:\WINDOWS\control.ini --------- 0
15.01.2010 21:13 C:\WINDOWS\WMSysPr9.prx --------- 316640
15.01.2010 21:13 C:\WINDOWS\wmsetup.log --------- 295
15.01.2010 21:13 C:\WINDOWS\ODBCINST.INI --------- 4161
15.01.2010 21:12 C:\WINDOWS\WindowsShell.Manifest --------- 749
15.01.2010 21:12 C:\WINDOWS\bitssetup.log --------- 1880
15.01.2010 21:12 C:\WINDOWS\ocgen.log --------- 11445
15.01.2010 21:12 C:\WINDOWS\FaxSetup.log --------- 12288
15.01.2010 21:11 C:\WINDOWS\vb.ini --------- 36
15.01.2010 21:11 C:\WINDOWS\vbaddin.ini --------- 37
15.01.2010 21:11 C:\WINDOWS\DtcInstall.log --------- 135
15.01.2010 21:11 C:\WINDOWS\sessmgr.setup.log --------- 1022
15.01.2010 21:11 C:\WINDOWS\msmqinst.log --------- 10172
30.10.2009 18:44 C:\WINDOWS\atiogl.xml --------- 19017
14.04.2008 05:40 C:\WINDOWS\SET3.tmp --------- 1296669
14.04.2008 05:34 C:\WINDOWS\SET4.tmp --------- 1088840
14.04.2008 03:42 C:\WINDOWS\winhlp32.exe --------- 283648
14.04.2008 03:42 C:\WINDOWS\regedit.exe --------- 146432
14.04.2008 03:42 C:\WINDOWS\NOTEPAD.EXE --------- 69120
14.04.2008 03:42 C:\WINDOWS\hh.exe --------- 10752
14.04.2008 03:42 C:\WINDOWS\explorer.exe --------- 1033728
14.04.2008 03:42 C:\WINDOWS\twain_32.dll --------- 50688
02.04.2004 13:31 C:\WINDOWS\Dit.exe --------- 86016
24.12.2003 13:25 C:\WINDOWS\ICCLR.INF --------- 573
12.12.2003 18:16 C:\WINDOWS\Dit.DLL --------- 245760
12.12.2003 18:14 C:\WINDOWS\Dit.INI --------- 266
11.07.2003 10:31 C:\WINDOWS\DitExp.exe --------- 61440
23.08.2001 12:00 C:\WINDOWS\twunk_16.exe --------- 49680
23.08.2001 12:00 C:\WINDOWS\vmmreg32.dll --------- 18944
23.08.2001 12:00 C:\WINDOWS\_default.pif --------- 707
23.08.2001 12:00 C:\WINDOWS\desktop.ini --------- 2
23.08.2001 12:00 C:\WINDOWS\TASKMAN.EXE --------- 15360
23.08.2001 12:00 C:\WINDOWS\explorer.scf --------- 80
23.08.2001 12:00 C:\WINDOWS\twunk_32.exe --------- 25600
23.08.2001 12:00 C:\WINDOWS\msdfmap.ini --------- 1405
23.08.2001 12:00 C:\WINDOWS\winhelp.exe --------- 256192
23.08.2001 12:00 C:\WINDOWS\twain.dll --------- 94784
25.06.1999 09:56 C:\WINDOWS\Unwise.exe --------- 127184
17.11.1998 14:44 C:\WINDOWS\IsUn0407.exe --------- 328704
02.10.1998 19:00 C:\WINDOWS\IsUninst.exe --------- 327168
----------------------------------------
C:\WINDOWS\System
18.01.2010 12:26 C:\WINDOWS\System\cmicnfg.ini --------- 330
14.04.2008 03:42 C:\WINDOWS\System\WINSPOOL.DRV --------- 146432
13.04.2008 20:24 C:\WINDOWS\System\MMSYSTEM.DLL --------- 68768
15.10.2003 16:26 C:\WINDOWS\System\SmWizard.exe --------- 1454080
14.10.2003 11:52 C:\WINDOWS\System\cmicnfg.cpl --------- 2301952
29.04.2002 15:04 C:\WINDOWS\System\cmids3d.dll --------- 917504
23.08.2001 12:00 C:\WINDOWS\System\KEYBOARD.DRV --------- 2000
23.08.2001 12:00 C:\WINDOWS\System\LZEXPAND.DLL --------- 9936
23.08.2001 12:00 C:\WINDOWS\System\MCIAVI.DRV --------- 73376
23.08.2001 12:00 C:\WINDOWS\System\MCISEQ.DRV --------- 25264
23.08.2001 12:00 C:\WINDOWS\System\MCIWAVE.DRV --------- 28160
23.08.2001 12:00 C:\WINDOWS\System\AVIFILE.DLL --------- 109456
23.08.2001 12:00 C:\WINDOWS\System\COMMDLG.DLL --------- 32816
23.08.2001 12:00 C:\WINDOWS\System\AVICAP.DLL --------- 69584
23.08.2001 12:00 C:\WINDOWS\System\MSVIDEO.DLL --------- 126912
23.08.2001 12:00 C:\WINDOWS\System\OLECLI.DLL --------- 82944
23.08.2001 12:00 C:\WINDOWS\System\OLESVR.DLL --------- 24064
23.08.2001 12:00 C:\WINDOWS\System\setup.inf --------- 59167
23.08.2001 12:00 C:\WINDOWS\System\SHELL.DLL --------- 5120
23.08.2001 12:00 C:\WINDOWS\System\MMTASK.TSK --------- 1152
23.08.2001 12:00 C:\WINDOWS\System\SOUND.DRV --------- 1744
23.08.2001 12:00 C:\WINDOWS\System\stdole.tlb --------- 5532
23.08.2001 12:00 C:\WINDOWS\System\SYSTEM.DRV --------- 3360
23.08.2001 12:00 C:\WINDOWS\System\TIMER.DRV --------- 4048
23.08.2001 12:00 C:\WINDOWS\System\VER.DLL --------- 9008
23.08.2001 12:00 C:\WINDOWS\System\VGA.DRV --------- 2176
23.08.2001 12:00 C:\WINDOWS\System\WFWNET.DRV --------- 13600
23.08.2001 12:00 C:\WINDOWS\System\MOUSE.DRV --------- 2032
----------------------------------------
C:\WINDOWS\System32
19.01.2010 10:22 C:\WINDOWS\system32\CatRoot2 --------- 0
19.01.2010 09:53 C:\WINDOWS\system32\Z-SANService.log --------- 6270976
18.01.2010 18:39 C:\WINDOWS\system32\drivers --------- 0
18.01.2010 10:06 C:\WINDOWS\system32\DirectX --------- 0
18.01.2010 10:06 C:\WINDOWS\system32\temp --------- 0
18.01.2010 09:05 C:\WINDOWS\system32\config --------- 0
18.01.2010 08:13 C:\WINDOWS\system32\appmgmt --------- 0
18.01.2010 08:10 C:\WINDOWS\system32\DRVSTORE --------- 0
18.01.2010 08:07 C:\WINDOWS\system32\bdod.bin --------- 81984
17.01.2010 16:33 C:\WINDOWS\system32\db --------- 10
17.01.2010 16:33 C:\WINDOWS\system32\chkntfsn.exe --------- 167936
17.01.2010 15:03 C:\WINDOWS\system32\CatRoot --------- 0
17.01.2010 15:01 C:\WINDOWS\system32\ReinstallBackups --------- 0
17.01.2010 14:56 C:\WINDOWS\system32\initdebug.nfo --------- 45
17.01.2010 09:07 C:\WINDOWS\system32\ZSANCoInstaller.log --------- 13056
17.01.2010 08:04 C:\WINDOWS\system32\FNTCACHE.DAT --------- 185016
16.01.2010 13:41 C:\WINDOWS\system32\perfh009.dat --------- 389786
16.01.2010 13:41 C:\WINDOWS\system32\perfc009.dat --------- 57326
16.01.2010 13:41 C:\WINDOWS\system32\PerfStringBackup.INI --------- 453882
16.01.2010 13:40 C:\WINDOWS\system32\ZSAN_Install.Log --------- 4880
16.01.2010 13:39 C:\WINDOWS\system32\NGRepairLog2B.txt --------- 1980
16.01.2010 13:39 C:\WINDOWS\system32\NGRepairLog.txt --------- 1978
16.01.2010 06:09 C:\WINDOWS\system32\spool --------- 0
15.01.2010 22:03 C:\WINDOWS\system32\pid.PNF --------- 4444
15.01.2010 22:00 C:\WINDOWS\system32\scripting --------- 0
15.01.2010 22:00 C:\WINDOWS\system32\Setup --------- 0
15.01.2010 22:00 C:\WINDOWS\system32\npp --------- 0
15.01.2010 21:59 C:\WINDOWS\system32\en --------- 0
15.01.2010 21:59 C:\WINDOWS\system32\ras --------- 0
15.01.2010 21:59 C:\WINDOWS\system32\icsxml --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\PreInstall --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\mui --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\1033 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\1042 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\usmt --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\1025 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\2052 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\1037 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\3076 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\1031 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\IME --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\1041 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\1054 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\1028 --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\3com_dmi --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\ShellExt --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\export --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\dhcp --------- 0
15.01.2010 21:58 C:\WINDOWS\system32\wins --------- 0
15.01.2010 21:15 C:\WINDOWS\system32\wpa.dbl --------- 2206
15.01.2010 21:15 C:\WINDOWS\system32\Microsoft --------- 0
15.01.2010 21:14 C:\WINDOWS\system32\$winnt$.inf --------- 1166
15.01.2010 21:13 C:\WINDOWS\system32\TZLog.log --------- 3716
15.01.2010 21:13 C:\WINDOWS\system32\CONFIG.NT --------- 2577
15.01.2010 21:13 C:\WINDOWS\system32\amcompat.tlb --------- 16832
15.01.2010 21:13 C:\WINDOWS\system32\nscompat.tlb --------- 23392
15.01.2010 21:13 C:\WINDOWS\system32\dllcache --------- 0
15.01.2010 21:13 C:\WINDOWS\system32\ias --------- 0
15.01.2010 21:12 C:\WINDOWS\system32\logonui.exe.manifest --------- 488
15.01.2010 21:12 C:\WINDOWS\system32\WindowsLogon.manifest --------- 488
15.01.2010 21:12 C:\WINDOWS\system32\nwc.cpl.manifest --------- 749
15.01.2010 21:12 C:\WINDOWS\system32\cdplayer.exe.manifest --------- 749
15.01.2010 21:12 C:\WINDOWS\system32\wuaucpl.cpl.manifest --------- 749
15.01.2010 21:12 C:\WINDOWS\system32\ncpa.cpl.manifest --------- 749
15.01.2010 21:12 C:\WINDOWS\system32\sapi.cpl.manifest --------- 749
15.01.2010 21:12 C:\WINDOWS\system32\Restore --------- 0
15.01.2010 21:12 C:\WINDOWS\system32\Macromed --------- 0
15.01.2010 21:12 C:\WINDOWS\system32\oobe --------- 0
15.01.2010 21:12 C:\WINDOWS\system32\Com --------- 0
15.01.2010 21:12 C:\WINDOWS\system32\emptyregdb.dat --------- 21640
15.01.2010 21:11 C:\WINDOWS\system32\MsDtc --------- 0
15.01.2010 21:11 C:\WINDOWS\system32\wbem --------- 0
15.01.2010 21:11 C:\WINDOWS\system32\en-US --------- 0
14.12.2009 05:32 C:\WINDOWS\system32\pid.dll --------- 35328
14.12.2009 05:32 C:\WINDOWS\system32\dvdplay.exe --------- 55296
14.12.2009 05:32 C:\WINDOWS\system32\wzcsapi.dll --------- 52736
14.12.2009 05:32 C:\WINDOWS\system32\sprio600.dll --------- 70656
14.12.2009 05:32 C:\WINDOWS\system32\dmutil.dll --------- 52224
14.12.2009 05:32 C:\WINDOWS\system32\sprio800.dll --------- 72192
14.12.2009 05:32 C:\WINDOWS\system32\paqsp.dll --------- 157696
14.12.2009 05:32 C:\WINDOWS\system32\mdwmdmsp.dll --------- 147968
14.12.2009 05:32 C:\WINDOWS\system32\hid.dll --------- 20992
14.12.2009 05:32 C:\WINDOWS\system32\spnike.dll --------- 69632
14.12.2009 05:32 C:\WINDOWS\system32\wzcsvc.dll --------- 483840
14.12.2009 05:32 C:\WINDOWS\system32\streamci.dll --------- 8192
14.12.2009 05:32 C:\WINDOWS\system32\ntkrnlpa.exe --------- 2023936
14.12.2009 05:31 C:\WINDOWS\system32\uxtheme.dll --------- 218624
14.12.2009 05:31 C:\WINDOWS\system32\sfc_os.dll --------- 140288
14.12.2009 05:31 C:\WINDOWS\system32\mmdriver.inf --------- 1435
14.12.2009 05:31 C:\WINDOWS\system32\syssetup.dll --------- 990208
14.12.2009 05:31 C:\WINDOWS\system32\xpsp4res.dll --------- 2560
14.12.2009 05:31 C:\WINDOWS\system32\wshext.dll --------- 90112
14.12.2009 05:31 C:\WINDOWS\system32\wscript.exe --------- 155648
14.12.2009 05:31 C:\WINDOWS\system32\wshom.ocx --------- 135168
14.12.2009 05:31 C:\WINDOWS\system32\wmvcore.dll --------- 2174976
14.12.2009 05:31 C:\WINDOWS\system32\win32k.sys --------- 1850624
14.12.2009 05:31 C:\WINDOWS\system32\wkssvc.dll --------- 132096
14.12.2009 05:31 C:\WINDOWS\system32\winhttp.dll --------- 354816
14.12.2009 05:31 C:\WINDOWS\system32\wininet.dll --------- 667136
14.12.2009 05:31 C:\WINDOWS\system32\vbscript.dll --------- 430080
----------------------------------------
C:\WINDOWS\Prefetch
19.01.2010 10:28 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 13252
19.01.2010 10:28 C:\WINDOWS\Prefetch\WINRAR.EXE-24731B5A.pf --------- 28202
19.01.2010 10:26 C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 56756
19.01.2010 10:26 C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf --------- 28844
19.01.2010 10:26 C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-28B2F780.pf --------- 54962
19.01.2010 10:25 C:\WINDOWS\Prefetch\FIREFOX.EXE-27033287.pf --------- 95932
19.01.2010 10:23 C:\WINDOWS\Prefetch\THUNDERBIRD.EXE-20307F3B.pf --------- 82338
19.01.2010 10:23 C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf --------- 39846
19.01.2010 10:23 C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 1294138
19.01.2010 08:48 C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf --------- 14092
19.01.2010 08:33 C:\WINDOWS\Prefetch\MMC.EXE-39071BCC.pf --------- 39920
19.01.2010 08:33 C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf --------- 70206
19.01.2010 08:28 C:\WINDOWS\Prefetch\IEXPLORE.EXE-27122324.pf --------- 117622
19.01.2010 08:28 C:\WINDOWS\Prefetch\MSHTA.EXE-331DF029.pf --------- 33408
19.01.2010 08:28 C:\WINDOWS\Prefetch\CHIPUTIL325.EXE-2E2A71CC.pf --------- 13834
18.01.2010 22:01 C:\WINDOWS\Prefetch\RUNDLL32.EXE-141C5A2D.pf --------- 16366
18.01.2010 22:01 C:\WINDOWS\Prefetch\VOLLEY.EXE-3A0B37F7.pf --------- 22408
18.01.2010 21:56 C:\WINDOWS\Prefetch\NTVDM.EXE-1A10A423.pf --------- 11760
18.01.2010 21:52 C:\WINDOWS\Prefetch\AVSCAN.EXE-2B457B67.pf --------- 48852
18.01.2010 21:52 C:\WINDOWS\Prefetch\MBAM.EXE-14F874B0.pf --------- 48508
18.01.2010 21:52 C:\WINDOWS\Prefetch\SETUP.EXE-004B3C80.pf --------- 18170
18.01.2010 21:52 C:\WINDOWS\Prefetch\FIREFOX%20SETUP%203.5.7[1].EX-38919833.pf --------- 47112
18.01.2010 21:48 C:\WINDOWS\Prefetch\AU_.EXE-05904C56.pf --------- 34256
18.01.2010 21:48 C:\WINDOWS\Prefetch\HELPER.EXE-30F7EB9E.pf --------- 14926
18.01.2010 21:48 C:\WINDOWS\Prefetch\UNINSTALLER.EXE-0EAEF946.pf --------- 14850
18.01.2010 21:48 C:\WINDOWS\Prefetch\RUNDLL32.EXE-2CD85FD3.pf --------- 43532
18.01.2010 21:45 C:\WINDOWS\Prefetch\SE.EXE-393DEF99.pf --------- 12090
18.01.2010 21:45 C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf --------- 67944
18.01.2010 21:43 C:\WINDOWS\Prefetch\AVCENTER.EXE-07F060EF.pf --------- 53008
18.01.2010 21:36 C:\WINDOWS\Prefetch\Layout.ini --------- 543242
18.01.2010 18:54 C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf --------- 85080
18.01.2010 18:54 C:\WINDOWS\Prefetch\AVNOTIFY.EXE-1C9A10B7.pf --------- 51564
18.01.2010 18:54 C:\WINDOWS\Prefetch\UPDATE.EXE-3010D7EC.pf --------- 47326
18.01.2010 18:53 C:\WINDOWS\Prefetch\FOXITR~1.EXE-217A9666.pf --------- 37188
18.01.2010 18:32 C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf --------- 44056
18.01.2010 12:33 C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf --------- 20728
18.01.2010 10:11 C:\WINDOWS\Prefetch\CLI.EXE-26C1BC8E.pf --------- 52876
18.01.2010 08:13 C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf --------- 84822
18.01.2010 08:07 C:\WINDOWS\Prefetch\VSSERV.EXE-18F2FAF5.pf --------- 71882
18.01.2010 08:07 C:\WINDOWS\Prefetch\LIVESRV.EXE-0013331D.pf --------- 25298
18.01.2010 08:05 C:\WINDOWS\Prefetch\UPGREPL.EXE-0CB08047.pf --------- 58360
18.01.2010 08:02 C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf --------- 28170
17.01.2010 23:05 C:\WINDOWS\Prefetch\CCC.EXE-39E67F5F.pf --------- 86418
17.01.2010 20:26 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf --------- 27704
17.01.2010 20:16 C:\WINDOWS\Prefetch\UISCAN.EXE-3367FD9B.pf --------- 132464
17.01.2010 16:36 C:\WINDOWS\Prefetch\SETUPX.EXE-0849B8AD.pf --------- 86510
17.01.2010 16:36 C:\WINDOWS\Prefetch\IPCLOG.EXE-07BBE401.pf --------- 18264
17.01.2010 15:01 C:\WINDOWS\Prefetch\RUNONCE.EXE-2803F297.pf --------- 24640
17.01.2010 15:01 C:\WINDOWS\Prefetch\IKERNEL.EXE-078AA887.pf --------- 41104
17.01.2010 08:22 C:\WINDOWS\Prefetch\SNDVOL32.EXE-383480B7.pf --------- 22398
16.01.2010 13:41 C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf --------- 75660
16.01.2010 12:56 C:\WINDOWS\Prefetch\MSCORSVW.EXE-1BF30400.pf --------- 90344
16.01.2010 12:30 C:\WINDOWS\Prefetch\NGEN.EXE-38021CCC.pf --------- 16432
16.01.2010 10:28 C:\WINDOWS\Prefetch\REGTLIBV12.EXE-0E2FA54B.pf --------- 9560
15.01.2010 21:20 C:\WINDOWS\Prefetch\INSTALLSHELL.EXE-070F5DC4.pf --------- 14072
----------------------------------------
C:\WINDOWS\Tasks
19.01.2010 10:21 C:\WINDOWS\Tasks\SA.DAT --------- 6
18.01.2010 08:04 C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job --------- 394
23.08.2001 12:00 C:\WINDOWS\Tasks\desktop.ini --------- 65
----------------------------------------
C:\WINDOWS\Temp
18.01.2010 10:06 C:\WINDOWS\Temp\DE99B447R3 --------- 48
17.01.2010 22:15 C:\WINDOWS\Temp\tmp00004566 --------- 0
17.01.2010 19:50 C:\WINDOWS\Temp\piqq.tmp --------- 0
17.01.2010 19:34 C:\WINDOWS\Temp\tmp00004a4d --------- 0
17.01.2010 19:16 C:\WINDOWS\Temp\tmp00003c38 --------- 0
17.01.2010 17:15 C:\WINDOWS\Temp\tmp1.tmp --------- 0
17.01.2010 16:34 C:\WINDOWS\Temp\1e635a2ff38db53359bd3e4.tmp --------- 131072
17.01.2010 16:34 C:\WINDOWS\Temp\81fa106b31c04c603dc39854.tmp --------- 131072
17.01.2010 16:34 C:\WINDOWS\Temp\db485449b0d44bb6a4162f88.tmp --------- 131072
17.01.2010 16:34 C:\WINDOWS\Temp\311af965390317116401f759.tmp --------- 131072
17.01.2010 15:29 C:\WINDOWS\Temp\tmp00000ee0 --------- 0
10.06.2004 13:58 C:\WINDOWS\Temp\ich5core.cat --------- 8143
10.06.2004 13:58 C:\WINDOWS\Temp\ich5core.inf --------- 4733
09.04.2004 10:17 C:\WINDOWS\Temp\ich5usb.cat --------- 9765
09.04.2004 10:16 C:\WINDOWS\Temp\865.CAT --------- 9757
09.04.2004 10:16 C:\WINDOWS\Temp\ich5usb.inf --------- 4353
09.04.2004 10:15 C:\WINDOWS\Temp\865.INF --------- 4787
08.04.2004 10:55 C:\WINDOWS\Temp\ICH6CORE.CAT --------- 8227
05.04.2004 15:19 C:\WINDOWS\Temp\ICH6CORE.INF --------- 4824
----------------------------------------
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
19.01.2010 10:28 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hjtscanlist.zip --------- 2097
19.01.2010 10:26 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFC942.tmp --------- 114688
18.01.2010 13:50 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll --------- 192512
18.01.2010 13:50 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll --------- 172032
18.01.2010 12:26 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF3E23.tmp --------- 114688
18.01.2010 09:00 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fontconfig --------- 0
17.01.2010 21:11 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MozillaMailnews --------- 0
17.01.2010 19:48 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\AVSETUP_4b535b3f --------- 0
17.01.2010 19:47 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistUI53F8.txt --------- 11486
17.01.2010 19:47 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistMSI53F8.txt --------- 516796
17.01.2010 19:04 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF3AC5.tmp --------- 114688
17.01.2010 19:03 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp000032c7 --------- 0
17.01.2010 18:46 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp0000252b --------- 0
17.01.2010 18:37 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistUI1E99.txt --------- 11428
17.01.2010 18:37 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistMSI1E99.txt --------- 1820
17.01.2010 17:38 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\443.exe --------- 0
17.01.2010 17:38 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uhs87rhjefhs87fhdjfbs37gffd.tmp --------- 4
25.01.2006 12:00 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\UnInst.exe --------- 15872
----------------------------------------
C:\Program Files
----------------------------------------
C:\Documents and Settings\All Users\..
Administrator
LocalService
NetworkService
Default User
All Users
----------------------------------------
C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
----------------------------------------
Image Name PID Session Name Session# Mem Usage
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 K
System 4 Console 0 220 K
smss.exe 592 Console 0 400 K
csrss.exe 656 Console 0 3.620 K
winlogon.exe 692 Console 0 2.844 K
services.exe 736 Console 0 3.968 K
lsass.exe 748 Console 0 2.504 K
ati2evxx.exe 936 Console 0 3.276 K
svchost.exe 956 Console 0 8.552 K
svchost.exe 1032 Console 0 4.444 K
svchost.exe 1136 Console 0 18.936 K
svchost.exe 1208 Console 0 3.772 K
ati2evxx.exe 1240 Console 0 3.780 K
svchost.exe 1432 Console 0 4.036 K
explorer.exe 1588 Console 0 16.248 K
spoolsv.exe 1660 Console 0 5.340 K
sched.exe 1744 Console 0 228 K
avguard.exe 1784 Console 0 48.000 K
avgnt.exe 1960 Console 0 1.472 K
svchost.exe 1992 Console 0 3.432 K
MOM.exe 116 Console 0 4.188 K
CCC.exe 244 Console 0 5.004 K
LSSrvc.exe 1128 Console 0 2.972 K
mdm.exe 1372 Console 0 2.876 K
Z-SANService.exe 1800 Console 0 5.996 K
HiJackThis.exe 3336 Console 0 10.500 K
firefox.exe 3468 Console 0 51.148 K
cmd.exe 4060 Console 0 2.712 K
tasklist.exe 1548 Console 0 4.472 K
wmiprvse.exe 1760 Console 0 5.988 K
***** Ende des Scans 19.01.2010 um 10:28:49,90 ***
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 10:36:53, on 19.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe G:\Avira\AntiVir Desktop\sched.exe G:\Avira\AntiVir Desktop\avguard.exe G:\Avira\AntiVir Desktop\avgnt.exe G:\ATI\ATI.ACE\Core-Static\MOM.exe G:\ATI\ATI.ACE\Core-Static\ccc.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe G:\Netgear\Z-SANService.exe G:\HiJackThis\TrendMicro\HiJackThis\HiJackThis.exe G:\Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe G:\Thunderbird\thunderbird.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://waspo.de/kanu/j/ O4 - HKLM\..\Run: [StartCCC] "G:\ATI\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [avgnt] "G:\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - G:\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - G:\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: Z-SAN Service (Z-SANService) - Zetera Corporation - G:\Netgear\Z-SANService.exe -- End of file - 2825 bytes Geändert von millennia100 (19.01.2010 um 11:05 Uhr) Grund: neue erkenntnisse |
|
19.01.2010, 12:08
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Maleware, Trojaner oder sonstwas hartnäckiges Hallo,
__________________wenn Du sicher gehen willst, führt nichts an einer Neuinstallation vorbei  Wir können aber auch weiter analysieren und bereinigen, führ dann erstmal GMER aus und poste das Log!
__________________ |
|
19.01.2010, 16:42
| #3 |
| | Maleware, Trojaner oder sonstwas hartnäckiges Hallo nochmal und Danke für den Tipp mit GMER.
__________________Der erste Versuch ging in die Hose. Ich starte runtergeladene Software immer gleich über die Download-Liste von Firefox. Da ist mein System erstmal abgeschmiert. Aber dafür hat der 2. Versuch mich zu folgenden Informationen gebracht (die ich zwar nicht deuten kann, vielleicht euch aber helfen, mir zu helfen...): EDIT: Und ich muss dazu sagen, dass Spyware Doctor nun seine Scans auch ohne Funde beendet. Ich habe mir die Lizenz gekauft und alles soweit bereinigen lassen. Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-19 16:34:41
Windows 5.1.2600 Service Pack 3
Running: 9z4osn51.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwgyaaow.sys
---- System - GMER 1.0.15 ----
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateKey [0xF7459E52]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xF743ACDE]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xF743AED0]
SSDT AEBAC66C ZwCreateThread
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteKey [0xF745A640]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteValueKey [0xF745A8F4]
SSDT AEBAC68A ZwLoadKey
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwOpenKey [0xF7458B44]
SSDT AEBAC658 ZwOpenProcess
SSDT AEBAC65D ZwOpenThread
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xF745AD60]
SSDT AEBAC694 ZwReplaceKey
SSDT AEBAC68F ZwRestoreKey
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwSetValueKey [0xF745A112]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwTerminateProcess [0xF743A984]
---- Kernel code sections - GMER 1.0.15 ----
.rsrc C:\WINDOWS\system32\drivers\atapi.sys entry point in ".rsrc" section [0xF74907A4]
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB96EC000, 0x2191E7, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text G:\ATI\ATI.ACE\Core-Static\MOM.exe[256] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 038D0001
.text G:\ATI\ATI.ACE\Core-Static\ccc.exe[348] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 05F50001
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3340] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 007B0001
---- Devices - GMER 1.0.15 ----
Device \Driver\PCTSDInjDriver32 \Device\PCTSDInjDriver32 PCTSDInj32.sys
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device -> \Driver\atapi \Device\Harddisk0\DR0 89E5D618
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 G:\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x94 0xA4 0x18 0x34 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x08 0xBB 0x23 0xB8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x7B 0xB9 0x2A 0x3F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 G:\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x94 0xA4 0x18 0x34 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x08 0xBB 0x23 0xB8 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x7B 0xB9 0x2A 0x3F ...
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Geändert von millennia100 (19.01.2010 um 16:43 Uhr) Grund: Spyware Doctor |
|
19.01.2010, 18:12
| #4 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware, Trojaner oder sonstwas hartnäckigesZitat:
Zitat:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.01.2010, 19:18
| #5 |
| | Maleware, Trojaner oder sonstwas hartnäckiges OK, bei CCleaner kann ich die Fehler in der Registry nicht endgültig beheben. Es erscheint immer wieder: Code:
ATTFilter Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
|
|
19.01.2010, 19:24
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware, Trojaner oder sonstwas hartnäckiges Das ist okay, der stammt von AntiVir und kann nicht gelöscht werden. (Eigentlich hab ich schon beantragt, dass dieser Hinweis mit in die Anleitung vom CCleaner soll, ich hab das schon so oft geschrieben  )
__________________ --> Maleware, Trojaner oder sonstwas hartnäckiges |
|
19.01.2010, 20:30
| #7 |
| | Maleware, Trojaner oder sonstwas hartnäckiges Ahhja, Danke für den Tipp, das sollte wirklich irgendwo stehen. Während der Ausführung von cofi wurde die "Windows File Protection" angezeigt. Und ich habe jetzt den nternet Explorer auf dem Desktop verlinkt, sowie als Standard-Browser. Alles ohne mein zutun. OK, dann hier also der Log (UIII, ist das viel): Code:
ATTFilter ComboFix 10-01-18.03 - Administrator 19.01.2010 20:18:32.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1033.18.2559.2172 [GMT 1:00]
ausgeführt von:: c:\documents and settings\Administrator\My Documents\Downloads\cofi.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\recycler\S-1-5-21-0159529923-2003568242-468851286-7683
c:\recycler\S-1-5-21-8665528644-5487879351-297380667-2561
c:\windows\system32\msconfig.exe
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2009-12-19 bis 2010-01-19 ))))))))))))))))))))))))))))))
.
2010-01-19 18:29 . 2010-01-19 18:29 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\ChemTable Software
2010-01-19 18:28 . 2010-01-19 18:28 -------- d-----w- c:\documents and settings\Administrator\Application Data\ChemTable Software
2010-01-19 15:06 . 2004-04-10 08:42 2944 ----a-w- c:\windows\system32\mbmiodrvr.sys
2010-01-19 15:04 . 2010-01-19 15:04 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Downloaded Installations
2010-01-19 14:19 . 2010-01-19 14:19 -------- d-----w- c:\windows\system32\xircom
2010-01-19 14:19 . 2010-01-19 14:19 -------- d-----w- c:\windows\system32\wbem\snmp
2010-01-19 14:19 . 2010-01-19 14:19 -------- d-----w- c:\windows\srchasst
2010-01-19 14:19 . 2010-01-19 14:19 -------- d-----w- c:\windows\msagent
2010-01-19 14:19 . 2010-01-19 14:19 -------- d-----w- c:\program files\microsoft frontpage
2010-01-19 09:56 . 2009-11-10 09:26 767952 ----a-w- c:\windows\BDTSupport.dll
2010-01-19 09:56 . 2009-11-10 09:28 149456 ----a-w- c:\windows\SGDetectionTool.dll
2010-01-19 09:56 . 2009-11-10 09:28 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-01-19 09:56 . 2009-11-10 09:28 1640400 ----a-w- c:\windows\PCTBDCore.dll
2010-01-19 09:56 . 2009-10-28 00:36 1152444 ----a-w- c:\windows\UDB.zip
2010-01-19 09:56 . 2008-11-26 11:08 131 ----a-w- c:\windows\IDB.zip
2010-01-19 09:55 . 2009-10-30 10:11 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-01-19 09:55 . 2009-11-09 10:20 207792 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-01-19 09:55 . 2009-10-06 15:31 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-01-19 09:55 . 2009-09-03 08:45 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-01-19 09:55 . 2010-01-19 09:56 -------- d-----w- c:\program files\Common Files\PC Tools
2010-01-19 09:55 . 2010-01-19 09:55 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2010-01-19 09:55 . 2010-01-19 09:55 -------- d-----w- c:\documents and settings\Administrator\Application Data\PC Tools
2010-01-19 09:54 . 2010-01-19 19:23 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-01-18 11:45 . 2010-01-18 11:45 -------- d-----w- c:\documents and settings\Administrator\.thumbnails
2010-01-18 11:33 . 2010-01-18 12:15 -------- d-----w- c:\documents and settings\Administrator\Application Data\gtk-2.0
2010-01-18 11:08 . 2010-01-18 11:08 -------- d-----w- c:\documents and settings\Administrator\Application Data\EFSoftware
2010-01-18 11:03 . 2004-09-26 11:06 12800 ----a-w- c:\windows\system32\PJLMON.DLL
2010-01-18 09:06 . 2010-01-18 09:06 -------- d-----w- c:\windows\system32\temp
2010-01-18 09:06 . 2010-01-18 09:06 -------- d-----w- c:\documents and settings\All Users\Application Data\PassMark
2010-01-18 08:00 . 2010-01-18 12:30 -------- d-----w- c:\documents and settings\Administrator\.gimp-2.6
2010-01-18 07:52 . 2010-01-18 07:52 -------- d-----w- c:\documents and settings\Administrator\Application Data\Helios
2010-01-17 22:08 . 2010-01-17 22:08 -------- d-----w- c:\documents and settings\All Users\Application Data\LightScribe
2010-01-17 22:08 . 2010-01-17 22:08 -------- d-----w- c:\documents and settings\Administrator\Application Data\Nero
2010-01-17 19:43 . 2004-08-04 00:58 25088 ----a-w- c:\windows\system32\userinit.exe
2010-01-17 19:26 . 2010-01-17 19:26 -------- d-----w- c:\documents and settings\Administrator\Application Data\Malwarebytes
2010-01-17 19:26 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-17 19:26 . 2010-01-17 19:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-17 19:26 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-17 17:58 . 2010-01-17 17:58 388096 ----a-r- c:\documents and settings\Administrator\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-17 17:38 . 2010-01-17 17:38 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
2010-01-17 17:38 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-17 17:38 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-17 17:38 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-17 17:38 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-17 17:38 . 2010-01-17 17:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-01-17 16:48 . 2010-01-17 16:48 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\Microsoft
2010-01-17 16:05 . 2010-01-17 16:47 3675848 -c--a-w- c:\documents and settings\All Users\Application Data\{BB36BADD-522D-4988-B24C-0D9C7F8078A1}\Download Guard for Internet Explorer.exe
2010-01-17 16:05 . 2010-01-17 16:05 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{BB36BADD-522D-4988-B24C-0D9C7F8078A1}
2010-01-17 16:03 . 2010-01-18 07:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-01-17 15:45 . 2010-01-17 15:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero
2010-01-17 15:45 . 2010-01-17 16:04 -------- d-----w- c:\program files\Common Files\Nero
2010-01-17 15:44 . 2010-01-17 15:44 -------- d-----w- c:\program files\Common Files\LightScribe
2010-01-17 15:33 . 2010-01-17 15:33 113893 --sh--w- C:\cbdll.exe
2010-01-17 15:33 . 2010-01-17 15:33 167936 ----a-w- c:\windows\system32\chkntfsn.exe
2010-01-17 13:59 . 1998-10-02 18:00 327168 ----a-w- c:\windows\IsUninst.exe
2010-01-17 13:56 . 2010-01-17 13:56 -------- d-----w- c:\program files\MSI
2010-01-17 08:15 . 2010-01-17 08:15 -------- d-----w- c:\documents and settings\Administrator\Application Data\Foxit
2010-01-17 08:05 . 1999-06-25 08:56 127184 ----a-w- c:\windows\Unwise.exe
2010-01-17 08:05 . 2010-01-17 08:05 -------- d-----w- c:\program files\X10 Hardware
2010-01-17 08:05 . 2010-01-17 08:05 -------- d-----w- c:\program files\Common Files\X10
2010-01-17 08:04 . 2004-02-06 12:55 465408 ----a-w- c:\windows\system32\CatchSwitchForXP.exe
2010-01-17 08:04 . 2010-01-17 08:04 -------- d-----w- c:\program files\Common Files\Borland Shared
2010-01-17 08:04 . 2004-02-07 11:30 460288 ----a-w- c:\windows\system32\WbLogon.dll
2010-01-17 08:04 . 2003-06-26 10:25 45056 ----a-w- c:\windows\system32\GetOSVer.dll
2010-01-17 08:04 . 2002-05-22 14:47 139776 ----a-w- c:\windows\system32\WbHook.dll
2010-01-17 08:04 . 2002-05-20 14:42 651264 ----a-w- c:\windows\system32\WbKeyCenter.dll
2010-01-17 08:04 . 2002-05-20 14:40 106496 ----a-w- c:\windows\system32\GSM.DLL
2010-01-16 20:26 . 1998-11-17 13:44 328704 ----a-w- c:\windows\IsUn0407.exe
2010-01-16 13:43 . 2004-08-18 08:34 442368 ----a-r- c:\windows\system32\vp6vfw.dll
2010-01-16 13:21 . 2010-01-16 13:22 -------- d-----w- c:\documents and settings\Administrator\Application Data\TigerPlayer
2010-01-16 13:20 . 2010-01-18 17:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-01-16 12:55 . 2010-01-17 15:42 13440 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS
2010-01-16 12:55 . 2004-04-02 12:31 86016 ----a-w- c:\windows\Dit.exe
2010-01-16 12:55 . 2003-12-12 17:16 245760 ------w- c:\windows\Dit.DLL
2010-01-16 12:55 . 2003-07-11 09:31 61440 ----a-w- c:\windows\DitExp.exe
2010-01-16 12:51 . 2006-10-26 18:58 30512 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-01-16 12:51 . 2006-10-26 18:58 30512 ----a-w- c:\windows\system32\mdimon.dll
2010-01-16 12:50 . 2010-01-16 12:50 -------- d-----w- c:\program files\Microsoft Works
2010-01-16 12:50 . 2010-01-16 12:50 -------- d-----w- c:\program files\Microsoft.NET
2010-01-16 12:47 . 2010-01-16 12:48 -------- d-----w- c:\windows\SHELLNEW
2010-01-16 12:47 . 2010-01-16 12:47 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Microsoft Help
2010-01-16 12:47 . 2010-01-16 12:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-01-16 12:40 . 2007-08-14 20:29 345984 ----a-w- c:\windows\system32\drivers\sfsz.sys
2010-01-16 12:40 . 2007-08-08 18:57 15488 ----a-w- c:\windows\system32\drivers\ZetBus.sys
2010-01-16 12:40 . 2007-08-08 18:57 12800 ----a-w- c:\windows\system32\drivers\ZetSFD.sys
2010-01-16 12:40 . 2007-08-08 18:57 5120 ----a-w- c:\windows\system32\drivers\ZetMPD.sys
2010-01-16 12:40 . 2007-08-08 18:55 163927 ----a-w- c:\windows\system32\ZSANCoInst.dll
2010-01-16 11:10 . 2010-01-16 11:10 -------- d-----w- c:\windows\Logs
2010-01-16 10:43 . 2010-01-16 10:43 -------- d-----w- c:\program files\Intel
2010-01-16 10:43 . 2010-01-17 08:04 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-16 10:21 . 2010-01-16 12:43 -------- d-----w- c:\documents and settings\Administrator\Application Data\DAEMON Tools Lite
2010-01-16 10:21 . 2010-01-16 10:21 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-01-16 10:19 . 2010-01-16 10:19 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Thunderbird
2010-01-16 10:19 . 2010-01-16 10:19 -------- d-----w- c:\documents and settings\Administrator\Application Data\Thunderbird
2010-01-16 10:10 . 2010-01-18 07:07 81984 ----a-w- c:\windows\system32\bdod.bin
2010-01-16 10:08 . 2010-01-17 06:42 43752 ----a-w- c:\documents and settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-16 10:08 . 2010-01-16 10:08 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI
2010-01-16 10:08 . 2010-01-16 10:08 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\ATI
2010-01-16 10:08 . 2010-01-16 10:08 -------- d-----w- c:\documents and settings\Administrator\Application Data\ATI
2010-01-16 10:03 . 2010-01-16 10:08 -------- d-----w- c:\documents and settings\All Users\Application Data\BitDefender
2010-01-16 10:02 . 2010-01-18 07:07 -------- d-----w- c:\program files\Common Files\BitDefender
2010-01-16 09:53 . 2008-04-14 05:09 5504 ----a-w- c:\windows\system32\drivers\MSTEE.sys
2010-01-16 09:53 . 2008-04-14 05:16 10880 ----a-w- c:\windows\system32\drivers\NdisIP.sys
2010-01-16 09:53 . 2008-04-14 05:16 15232 ----a-w- c:\windows\system32\drivers\StreamIP.sys
2010-01-16 09:53 . 2008-04-14 05:16 11136 ----a-w- c:\windows\system32\drivers\SLIP.sys
2010-01-16 09:53 . 2008-04-14 05:16 19200 ----a-w- c:\windows\system32\drivers\WSTCODEC.SYS
2010-01-16 09:52 . 2008-04-14 05:16 85248 ----a-w- c:\windows\system32\drivers\NABTSFEC.sys
2010-01-16 09:52 . 2008-04-14 05:16 17024 ----a-w- c:\windows\system32\drivers\CCDECODE.sys
2010-01-16 09:52 . 2008-04-14 05:09 7552 ----a-w- c:\windows\system32\drivers\MSKSSRV.sys
2010-01-16 09:52 . 2008-04-14 05:09 4992 ----a-w- c:\windows\system32\drivers\MSPQM.sys
2010-01-16 09:52 . 2008-04-14 05:09 5376 ----a-w- c:\windows\system32\drivers\MSPCLOCK.sys
2010-01-16 09:52 . 2008-04-14 10:42 53760 ----a-w- c:\windows\system32\vfwwdm32.dll
2010-01-16 09:52 . 2008-04-14 10:41 4096 ----a-w- c:\windows\system32\ksuser.dll
2010-01-16 09:50 . 2010-01-16 10:43 -------- d-----w- c:\program files\Common Files\InstallShield
2010-01-15 21:07 . 2001-08-17 19:59 3072 ----a-w- c:\windows\system32\drivers\audstub.sys
2010-01-15 21:06 . 2008-04-14 11:41 21504 ----a-w- c:\windows\system32\hidserv.dll
2010-01-15 21:06 . 2008-04-14 06:10 57600 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-01-15 21:05 . 2001-08-17 19:46 6400 ----a-w- c:\windows\system32\drivers\enum1394.sys
2010-01-15 21:05 . 2008-04-14 10:42 74240 ----a-w- c:\windows\system32\usbui.dll
2010-01-15 21:05 . 2008-04-14 05:06 42368 ----a-w- c:\windows\system32\drivers\AGP440.SYS
2010-01-15 21:02 . 2010-01-19 19:24 -------- d-----w- c:\windows\system32\CatRoot2
2010-01-15 21:02 . 2010-01-17 14:03 -------- d-----w- c:\windows\system32\CatRoot
2010-01-15 21:02 . 2009-01-27 08:17 55808 ----a-w- C:\devcon.exe
2010-01-15 21:02 . 2009-01-27 08:17 20992 ----a-w- C:\makePNF.exe
2010-01-15 21:02 . 2008-09-22 08:41 43520 ----a-w- c:\windows\system32\drivers\fetnd5bv.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-16 10:05 . 2010-01-16 10:05 -------- d-----w- c:\program files\C-Media
2010-01-15 20:21 . 2010-01-15 20:21 0 ----a-w- c:\windows\nsreg.dat
2010-01-15 20:20 . 2010-01-15 20:20 0 ----a-w- c:\windows\ativpsrm.bin
2010-01-15 20:19 . 2010-01-15 20:19 10134 ----a-r- c:\documents and settings\Administrator\Application Data\Microsoft\Installer\{A778A787-08A4-4089-CB68-02A9737DE532}\ARPPRODUCTICON.exe
2010-01-15 20:19 . 2010-01-15 20:19 -------- d-----w- c:\program files\ATI
2010-01-15 20:12 . 2010-01-15 20:12 21640 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-14 04:31 . 2009-12-14 04:31 361600 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-14 04:30 . 2009-12-14 04:30 248 ----a-w- c:\windows\system32\nlite.cmd
2009-12-14 04:27 . 2009-12-14 04:27 3186 ----a-w- c:\windows\system32\presetup.cmd
2009-12-14 04:27 . 2009-12-14 04:27 28672 ----a-w- c:\windows\system32\setupold.exe
2009-11-25 03:50 . 2010-01-15 20:19 4463104 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2009-11-25 03:27 . 2010-01-15 20:19 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll
2009-11-25 03:26 . 2010-01-15 20:19 300032 ----a-w- c:\windows\system32\ati2dvag.dll
2009-11-25 03:11 . 2010-01-15 20:19 208896 ----a-w- c:\windows\system32\atipdlxx.dll
2009-11-25 03:11 . 2010-01-15 20:19 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2009-11-25 03:10 . 2010-01-15 20:19 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2009-11-25 03:10 . 2010-01-15 20:19 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2009-11-25 03:10 . 2010-01-15 20:19 155648 ----a-w- c:\windows\system32\ati2evxx.dll
2009-11-25 03:09 . 2010-01-15 20:19 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2009-11-25 03:07 . 2010-01-15 20:19 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2009-11-25 02:59 . 2010-01-15 20:19 311296 ----a-w- c:\windows\system32\atiiiexx.dll
2009-11-25 02:59 . 2010-01-15 20:19 3538496 ----a-w- c:\windows\system32\ati3duag.dll
2009-11-25 02:44 . 2010-01-15 20:19 13533184 ----a-w- c:\windows\system32\atioglxx.dll
2009-11-25 02:43 . 2010-01-15 20:19 2142848 ----a-w- c:\windows\system32\ativvaxx.dll
2009-11-25 02:42 . 2010-01-15 20:19 887724 ----a-w- c:\windows\system32\ativva6x.dat
2009-11-25 02:42 . 2010-01-15 20:19 3 ----a-w- c:\windows\system32\ativva5x.dat
2009-11-25 02:26 . 2010-01-15 20:19 65024 ----a-w- c:\windows\system32\atimpc32.dll
2009-11-25 02:26 . 2010-01-15 20:19 65024 ----a-w- c:\windows\system32\amdpcom32.dll
2009-11-25 02:21 . 2010-01-15 20:19 565248 ----a-w- c:\windows\system32\atikvmag.dll
2009-11-25 02:20 . 2010-01-15 20:19 45056 ----a-w- c:\windows\system32\aticalrt.dll
2009-11-25 02:20 . 2010-01-15 20:19 45056 ----a-w- c:\windows\system32\aticalcl.dll
2009-11-25 02:19 . 2010-01-15 20:19 176128 ----a-w- c:\windows\system32\atiadlxx.dll
2009-11-25 02:18 . 2010-01-15 20:19 17408 ----a-w- c:\windows\system32\atitvo32.dll
2009-11-25 02:18 . 2010-01-15 20:19 3612672 ----a-w- c:\windows\system32\aticaldd.dll
2009-11-25 02:18 . 2010-01-15 20:19 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2009-11-25 02:17 . 2010-01-15 20:19 397312 ----a-w- c:\windows\system32\atiok3x2.dll
2009-11-25 02:12 . 2010-01-15 20:19 638976 ----a-w- c:\windows\system32\ati2cqag.dll
2009-10-22 15:59 . 2010-01-15 20:19 196565 ----a-w- c:\windows\system32\atiicdxx.dat
.
------- Sigcheck -------
[-] 2009-12-14 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2004-08-04 . D1E53DC57143F2584B1DD53B036C0633 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\userinit.exe
c:\windows\System32\wscntfy.exe ... Fehlt !!
c:\windows\System32\regsvc.dll ... Fehlt !!
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="g:\ati\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]
"avgnt"="g:\avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2008-04-14 99840]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^PC Alert 4.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\PC Alert 4.lnk
backup=c:\windows\pss\PC Alert 4.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:42 15360 ------w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57 369200 ----a-w- g:\daemon tools lite\DTLite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2004-04-02 12:31 86016 ----a-w- c:\windows\Dit.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2009-08-20 12:25 2363392 ----a-w- c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"odserv"=3 (0x3)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [19.01.2010 10:55 207792]
R2 AntiVirSchedulerService;Avira AntiVir Planer;g:\avira\AntiVir Desktop\sched.exe [17.01.2010 18:38 108289]
R2 Browser Defender Update Service;Browser Defender Update Service;g:\spyware doctor\BDT\BDTUpdateService.exe [19.01.2010 10:56 112592]
R2 SFSZ;DataPlow SFS for Zetera Storage Devices;c:\windows\system32\drivers\sfsz.sys [16.01.2010 13:40 345984]
R2 Z-SANService;Z-SAN Service;g:\netgear\Z-SANService.exe [16.01.2010 13:40 376891]
R3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [16.01.2010 13:55 13440]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [29.09.2004 20:26 24704]
R3 ZetBus;Zetera Virtual Bus;c:\windows\system32\drivers\ZetBus.sys [16.01.2010 13:40 15488]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S0 tfxwb;tfxwb; [x]
S0 ZetSFD;ZetSFD;c:\windows\system32\drivers\ZetSFD.sys [16.01.2010 13:40 12800]
S3 sdAuxService;PC Tools Auxiliary Service;g:\spyware doctor\pctsAuxs.exe [19.01.2010 10:55 359624]
S3 ZetMPD;ZetMPD;c:\windows\system32\drivers\ZetMPD.sys [16.01.2010 13:40 5120]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 12:24 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://waspo.de/kanu/j/
FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\c9ck1axm.default\
FF - plugin: g:\firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: g:\mpcstar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: g:\mpcstar\Codecs\Real\browser\plugins\nprpjplug.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-12CFG214-K641-12SF-N85P - c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
MSConfigStartUp-Calc32 - c:\windows\system32\regedit.exe
MSConfigStartUp-cbdll - c:\documents and settings\Administrator\Desktop\WindowsApplication2.exe
MSConfigStartUp-ewindll - C:\allwin.exe
MSConfigStartUp-Microsoft Driver Setup - c:\windows\ccdrive32.exe
MSConfigStartUp-Regedit32 - c:\windows\system32\regedit.exe
MSConfigStartUp-WinsysMon - c:\documents and settings\Administrator\Desktop\googledownload.exe
MSConfigStartUp-ygua8e7yhuiesfha876yfauy8fe - c:\docume~1\ADMINI~1\LOCALS~1\Temp\no2fz7uke.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-19 20:23
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
g:\avira\AntiVir Desktop\avguard.exe
g:\ati\ATI.ACE\Core-Static\MOM.exe
g:\ati\ATI.ACE\Core-Static\ccc.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-19 20:26:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-19 19:26
Vor Suchlauf: 8.651.866.112 bytes free
Nach Suchlauf: 8.629.956.608 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noexecute=optin /noguiboot
- - End Of File - - 0718E1A65B2B416CE7F5B0393806958D
|
|
19.01.2010, 20:36
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware, Trojaner oder sonstwas hartnäckigesZitat:
Bitte mal den Avenger anwenden 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete;
C:\cbdll.exe
c:\windows\system32\chkntfsn.exe
drivers to delete:
tfxwb
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.01.2010, 10:05
| #9 |
| | Maleware, Trojaner oder sonstwas hartnäckiges OK, so weit, so gut. Allerdings habe dein Script berichtigen müssen, daher im Log die beiden ersten Fehlversuche. ";" vs. ":" Der erste Bootvorgang brach mit einem Bluescreen ab, der zweite war dann erfolgreich. Beim Laden der Oberfläche erhalte ich jetzt diese Fehlermeldung mit Eingabeaufforderung:  Also wieder ein Log: Code:
ATTFilter //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 20 09:50:45 2010
09:50:45: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 20 09:51:26 2010
09:51:26: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\cbdll.exe" deleted successfully.
File "c:\windows\system32\chkntfsn.exe" deleted successfully.
Driver "tfxwb" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
|
|
20.01.2010, 10:28
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware, Trojaner oder sonstwas hartnäckiges Ups  Sry für den Tippfehler  Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________ Logfiles bitte immer in CODE-Tags posten Geändert von cosinus (20.01.2010 um 10:39 Uhr) |
|
20.01.2010, 10:30
| #11 |
| | Maleware, Trojaner oder sonstwas hartnäckiges Ist echt kein Problem, ich bin so froh, das mir hier geholfen wird... Außerdem kann ich lesen und das Script Tutorial ist da sehr eindeutig. Edit: Ich musste gerade feststelle, dass sich in meinem Startmenü etwas verändert hat: neu hinzugekommen sind "My Network Places" und "My Music", aus den Ausklappmenüs "Control Panel" und "My Computer" wurden Verknüpfungen. Geändert von millennia100 (20.01.2010 um 10:41 Uhr) |
|
20.01.2010, 10:46
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware, Trojaner oder sonstwas hartnäckiges Das mit den verknüpfungen ist erstmal nicht wichtig, mich interessiert der Kontrollscan 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.01.2010, 10:54
| #13 |
| | Maleware, Trojaner oder sonstwas hartnäckiges von welchem Programm? Jetzt hab ich einiges zur Auswahl:
|
|
20.01.2010, 11:04
| #14 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware, Trojaner oder sonstwas hartnäckiges Malwarebytes meinte ich! Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.01.2010, 14:25
| #15 |
| | Maleware, Trojaner oder sonstwas hartnäckiges So, einmal Malwarebytes. Da der Spyware Doctor beim letzten Einsatz mehr gefunden hatte, werde ich auch da gerade nochmal einen Kompletten Test starten. Ansonsten gab es keine Funde bislang.  Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3584
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
20.01.2010 14:22:09
mbam-log-2010-01-20 (14-22-09).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|J:\|K:\|L:\|M:\|)
Durchsuchte Objekte: 221899
Laufzeit: 1 hour(s), 7 minute(s), 23 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter 20.01.2010 14:24:19:953
Service gestartet
Serviceanwendung von Spyware Doctor gestartet
20.01.2010 14:24:19:953
Anti-Malware-Modul
Die Konfiguration des Anti-Malware-Moduls wurde erfolgreich geladen.
20.01.2010 14:24:20:46
IntelliGuard-Status
Alle IntelliGuards aktiviert
20.01.2010 14:24:25:734
Immunizer-Ergebnisse
ActiveX-Abschnitt wurde immunisiert. Es wurden keine Objekte bearbeitet.
20.01.2010 14:24:52:203
Scan gestartet
Scan-Art - Intelli-Scan
20.01.2010 14:25:24:390
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
20.01.2010 14:25:24:390
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, LastDir
20.01.2010 14:25:24:390
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
20.01.2010 14:25:24:390
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot
20.01.2010 14:25:24:390
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters, WinSock_Registry_Version
20.01.2010 14:25:24:390
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters, Current_NameSpace_Catalog
20.01.2010 14:25:24:406
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters, Current_Protocol_Catalog
20.01.2010 14:25:24:406
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5, Num_Catalog_Entries
20.01.2010 14:25:24:406
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5, Serial_Access_Num
20.01.2010 14:25:24:406
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, LibraryPath
20.01.2010 14:25:24:421
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, DisplayString
20.01.2010 14:25:24:421
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, ProviderId
20.01.2010 14:25:24:421
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, SupportedNameSpace
20.01.2010 14:25:24:421
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, Enabled
20.01.2010 14:25:24:421
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, Version
20.01.2010 14:25:24:437
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, StoresServiceClassInfo
20.01.2010 14:25:24:437
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001
20.01.2010 14:25:24:437
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, LibraryPath
20.01.2010 14:25:24:437
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, DisplayString
20.01.2010 14:25:24:437
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, ProviderId
20.01.2010 14:25:24:453
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, SupportedNameSpace
20.01.2010 14:25:24:453
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, Enabled
20.01.2010 14:25:24:453
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, Version
20.01.2010 14:25:24:453
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, StoresServiceClassInfo
20.01.2010 14:25:24:453
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002
20.01.2010 14:25:24:468
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, LibraryPath
20.01.2010 14:25:24:468
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, DisplayString
20.01.2010 14:25:24:468
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, ProviderId
20.01.2010 14:25:24:468
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, SupportedNameSpace
20.01.2010 14:25:24:468
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, Enabled
20.01.2010 14:25:24:484
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, Version
20.01.2010 14:25:24:484
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, StoresServiceClassInfo
20.01.2010 14:25:24:484
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003
20.01.2010 14:25:24:484
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries
20.01.2010 14:25:24:484
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5
20.01.2010 14:25:24:500
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9, Num_Catalog_Entries
20.01.2010 14:25:24:500
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9, Next_Catalog_Entry_ID
20.01.2010 14:25:24:500
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9, Serial_Access_Num
20.01.2010 14:25:24:500
Geändert von millennia100 (20.01.2010 um 14:32 Uhr) Grund: Spy Doc |
|
| Themen zu Maleware, Trojaner oder sonstwas hartnäckiges |
| .com, 8.tmp, ad-aware, administrator, antivir, antivir guard, avira, c:\hiberfil.sys, cache.dat, computer, cpu, desktop.ini, drvstore, explorer, firefox, hiberfil.sys, hkus\s-1-5-18, lan, log-files, logfile, logon.exe, maleware, malwarebytes' anti-malware, netgear, neuer tab, nicht gefunden, notepad.exe, quelldatei, registrierungsschlüssel, rundll, seiten, software, svchost, system, taskman, temp, trojaner, twain.dll, twunk_32.exe, warnung, win32k.sys, windows xp, winhelp.exe, wscript.exe, öffnet |
wurde wiederhergestellt
Linear-Darstellung
