servus,

hier das LOG:

Code: Alles auswählenAufklappen

ATTFilter

13:19:42:281 1620	TDSS rootkit removing tool 2.2.2 Jan 13 2010 08:42:25
13:19:42:281 1620	================================================================================
13:19:42:281 1620	SystemInfo:

13:19:42:281 1620	OS Version: 5.1.2600 ServicePack: 3.0
13:19:42:281 1620	Product type: Workstation
13:19:42:281 1620	ComputerName: ***
13:19:42:281 1620	UserName: ******a
13:19:42:281 1620	Windows directory: C:\WINDOWS
13:19:42:281 1620	Processor architecture: Intel x86
13:19:42:281 1620	Number of processors: 2
13:19:42:281 1620	Page size: 0x1000
13:19:42:281 1620	Boot type: Normal boot
13:19:42:281 1620	================================================================================
13:19:42:296 1620	UnloadDriverW: NtUnloadDriver error 2
13:19:42:296 1620	ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
13:19:42:312 1620	MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000
13:19:42:328 1620	UtilityInit: KLMD drop and load success
13:19:42:328 1620	KLMD_OpenDevice: Trying to open KLMD Device(KLMD201000)
13:19:42:328 1620	UtilityInit: KLMD open success
13:19:42:328 1620	UtilityInit: Initialize success
13:19:42:328 1620	
13:19:42:328 1620	Scanning	Services ...
13:19:42:328 1620	CreateRegParser: Registry parser init started
13:19:42:328 1620	DisableWow64Redirection: GetProcAddress(Wow64DisableWow64FsRedirection) error 127
13:19:42:328 1620	CreateRegParser: DisableWow64Redirection error
13:19:42:328 1620	wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
13:19:42:328 1620	MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\system) returned status C0000043
13:19:42:328 1620	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:19:42:328 1620	wfopen_ex: Trying to KLMD file open
13:19:42:328 1620	KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\system
13:19:42:328 1620	wfopen_ex: File opened ok (Flags 2)
13:19:42:328 1620	CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\system) init success: 3849D0
13:19:42:328 1620	wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
13:19:42:328 1620	MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\software) returned status C0000043
13:19:42:328 1620	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:19:42:328 1620	wfopen_ex: Trying to KLMD file open
13:19:42:328 1620	KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\software
13:19:42:328 1620	wfopen_ex: File opened ok (Flags 2)
13:19:42:328 1620	CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\software) init success: 384A78
13:19:42:328 1620	EnableWow64Redirection: GetProcAddress(Wow64RevertWow64FsRedirection) error 127
13:19:42:328 1620	CreateRegParser: EnableWow64Redirection error
13:19:42:328 1620	CreateRegParser: RegParser init completed
13:19:42:609 1620	GetAdvancedServicesInfo: Raw services enum returned 375 services
13:19:42:609 1620	fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
13:19:42:609 1620	fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
13:19:42:609 1620	
13:19:42:609 1620	Scanning	Kernel memory ...
13:19:42:609 1620	KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk
13:19:42:609 1620	DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 89C13030
13:19:42:609 1620	DetectCureTDL3: KLMD_GetDeviceObjectList returned 6 DevObjects
13:19:42:609 1620	
13:19:42:609 1620	DetectCureTDL3: DEVICE_OBJECT: 88FF0C68
13:19:42:609 1620	KLMD_GetLowerDeviceObject: Trying to get lower device object for 88FF0C68
13:19:42:609 1620	KLMD_ReadMem: Trying to ReadMemory 0x88FF0C68[0x38]
13:19:42:609 1620	DetectCureTDL3: DRIVER_OBJECT: 89C13030
13:19:42:609 1620	KLMD_ReadMem: Trying to ReadMemory 0x89C13030[0xA8]
13:19:42:609 1620	KLMD_ReadMem: Trying to ReadMemory 0xE1603D78[0x18]
13:19:42:609 1620	DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
13:19:42:609 1620	DetectCureTDL3: IrpHandler (0) addr: F765DBB0
13:19:42:609 1620	DetectCureTDL3: IrpHandler (1) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (2) addr: F765DBB0
13:19:42:609 1620	DetectCureTDL3: IrpHandler (3) addr: F7657D1F
13:19:42:609 1620	DetectCureTDL3: IrpHandler (4) addr: F7657D1F
13:19:42:609 1620	DetectCureTDL3: IrpHandler (5) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (6) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (7) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (8) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (9) addr: F76582E2
13:19:42:609 1620	DetectCureTDL3: IrpHandler (10) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (11) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (12) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (13) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (14) addr: F76583BB
13:19:42:609 1620	DetectCureTDL3: IrpHandler (15) addr: F765BF28
13:19:42:609 1620	DetectCureTDL3: IrpHandler (16) addr: F76582E2
13:19:42:609 1620	DetectCureTDL3: IrpHandler (17) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (18) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (19) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (20) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (21) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (22) addr: F7659C82
13:19:42:609 1620	DetectCureTDL3: IrpHandler (23) addr: F765E99E
13:19:42:609 1620	DetectCureTDL3: IrpHandler (24) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (25) addr: 804F9739
13:19:42:609 1620	DetectCureTDL3: IrpHandler (26) addr: 804F9739
13:19:42:609 1620	TDL3_FileDetect: Processing driver: Disk
13:19:42:609 1620	TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
13:19:42:609 1620	KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
13:19:42:656 1620	TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
13:19:42:656 1620	
13:19:42:656 1620	DetectCureTDL3: DEVICE_OBJECT: 88FE8AB8
13:19:42:656 1620	KLMD_GetLowerDeviceObject: Trying to get lower device object for 88FE8AB8
13:19:42:656 1620	DetectCureTDL3: DEVICE_OBJECT: 88FF6030
13:19:42:656 1620	KLMD_GetLowerDeviceObject: Trying to get lower device object for 88FF6030
13:19:42:656 1620	KLMD_ReadMem: Trying to ReadMemory 0x88FF6030[0x38]
13:19:42:656 1620	DetectCureTDL3: DRIVER_OBJECT: 894BC790
13:19:42:656 1620	KLMD_ReadMem: Trying to ReadMemory 0x894BC790[0xA8]
13:19:42:656 1620	KLMD_ReadMem: Trying to ReadMemory 0xE50BD738[0x1E]
13:19:42:656 1620	DetectCureTDL3: DRIVER_OBJECT name: \Driver\USBSTOR, Driver Name: USBSTOR
13:19:42:656 1620	DetectCureTDL3: IrpHandler (0) addr: 88FEA1F8
13:19:42:656 1620	DetectCureTDL3: IrpHandler (1) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (2) addr: 88FEA1F8
13:19:42:656 1620	DetectCureTDL3: IrpHandler (3) addr: 88FEA1F8
13:19:42:656 1620	DetectCureTDL3: IrpHandler (4) addr: 88FEA1F8
13:19:42:656 1620	DetectCureTDL3: IrpHandler (5) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (6) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (7) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (8) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (9) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (10) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (11) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (12) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (13) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (14) addr: 88FEA1F8
13:19:42:656 1620	DetectCureTDL3: IrpHandler (15) addr: 88FEA1F8
13:19:42:656 1620	DetectCureTDL3: IrpHandler (16) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (17) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (18) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (19) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (20) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (21) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (22) addr: 88FEA1F8
13:19:42:656 1620	DetectCureTDL3: IrpHandler (23) addr: 88FEA1F8
13:19:42:656 1620	DetectCureTDL3: IrpHandler (24) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (25) addr: 804F9739
13:19:42:656 1620	DetectCureTDL3: IrpHandler (26) addr: 804F9739
13:19:42:656 1620	KLMD_ReadMem: Trying to ReadMemory 0xF77A8F26[0x400]
13:19:42:656 1620	TDL3_StartIoHookDetect: CheckParameters: 0, 00000000, 0
13:19:42:656 1620	TDL3_FileDetect: Processing driver: USBSTOR
13:19:42:656 1620	TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
13:19:42:656 1620	KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
13:19:42:671 1620	TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: Clean
13:19:42:671 1620	
13:19:42:671 1620	DetectCureTDL3: DEVICE_OBJECT: 89AE9030
13:19:42:671 1620	KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AE9030
13:19:42:671 1620	KLMD_ReadMem: Trying to ReadMemory 0x89AE9030[0x38]
13:19:42:671 1620	DetectCureTDL3: DRIVER_OBJECT: 89C13030
13:19:42:671 1620	KLMD_ReadMem: Trying to ReadMemory 0x89C13030[0xA8]
13:19:42:671 1620	KLMD_ReadMem: Trying to ReadMemory 0xE1603D78[0x18]
13:19:42:671 1620	DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
13:19:42:671 1620	DetectCureTDL3: IrpHandler (0) addr: F765DBB0
13:19:42:671 1620	DetectCureTDL3: IrpHandler (1) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (2) addr: F765DBB0
13:19:42:671 1620	DetectCureTDL3: IrpHandler (3) addr: F7657D1F
13:19:42:671 1620	DetectCureTDL3: IrpHandler (4) addr: F7657D1F
13:19:42:671 1620	DetectCureTDL3: IrpHandler (5) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (6) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (7) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (8) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (9) addr: F76582E2
13:19:42:671 1620	DetectCureTDL3: IrpHandler (10) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (11) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (12) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (13) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (14) addr: F76583BB
13:19:42:671 1620	DetectCureTDL3: IrpHandler (15) addr: F765BF28
13:19:42:671 1620	DetectCureTDL3: IrpHandler (16) addr: F76582E2
13:19:42:671 1620	DetectCureTDL3: IrpHandler (17) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (18) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (19) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (20) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (21) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (22) addr: F7659C82
13:19:42:671 1620	DetectCureTDL3: IrpHandler (23) addr: F765E99E
13:19:42:671 1620	DetectCureTDL3: IrpHandler (24) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (25) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (26) addr: 804F9739
13:19:42:671 1620	TDL3_FileDetect: Processing driver: Disk
13:19:42:671 1620	TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
13:19:42:671 1620	KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
13:19:42:671 1620	TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
13:19:42:671 1620	
13:19:42:671 1620	DetectCureTDL3: DEVICE_OBJECT: 89AE7A28
13:19:42:671 1620	KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AE7A28
13:19:42:671 1620	KLMD_ReadMem: Trying to ReadMemory 0x89AE7A28[0x38]
13:19:42:671 1620	DetectCureTDL3: DRIVER_OBJECT: 89C13030
13:19:42:671 1620	KLMD_ReadMem: Trying to ReadMemory 0x89C13030[0xA8]
13:19:42:671 1620	KLMD_ReadMem: Trying to ReadMemory 0xE1603D78[0x18]
13:19:42:671 1620	DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
13:19:42:671 1620	DetectCureTDL3: IrpHandler (0) addr: F765DBB0
13:19:42:671 1620	DetectCureTDL3: IrpHandler (1) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (2) addr: F765DBB0
13:19:42:671 1620	DetectCureTDL3: IrpHandler (3) addr: F7657D1F
13:19:42:671 1620	DetectCureTDL3: IrpHandler (4) addr: F7657D1F
13:19:42:671 1620	DetectCureTDL3: IrpHandler (5) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (6) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (7) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (8) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (9) addr: F76582E2
13:19:42:671 1620	DetectCureTDL3: IrpHandler (10) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (11) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (12) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (13) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (14) addr: F76583BB
13:19:42:671 1620	DetectCureTDL3: IrpHandler (15) addr: F765BF28
13:19:42:671 1620	DetectCureTDL3: IrpHandler (16) addr: F76582E2
13:19:42:671 1620	DetectCureTDL3: IrpHandler (17) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (18) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (19) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (20) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (21) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (22) addr: F7659C82
13:19:42:671 1620	DetectCureTDL3: IrpHandler (23) addr: F765E99E
13:19:42:671 1620	DetectCureTDL3: IrpHandler (24) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (25) addr: 804F9739
13:19:42:671 1620	DetectCureTDL3: IrpHandler (26) addr: 804F9739
13:19:42:671 1620	TDL3_FileDetect: Processing driver: Disk
13:19:42:671 1620	TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
13:19:42:671 1620	KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
13:19:42:687 1620	TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
13:19:42:687 1620	
13:19:42:687 1620	DetectCureTDL3: DEVICE_OBJECT: 89B20AB8
13:19:42:687 1620	KLMD_GetLowerDeviceObject: Trying to get lower device object for 89B20AB8
13:19:42:687 1620	DetectCureTDL3: DEVICE_OBJECT: 89AE5D98
13:19:42:687 1620	KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AE5D98
13:19:42:687 1620	KLMD_ReadMem: Trying to ReadMemory 0x89AE5D98[0x38]
13:19:42:687 1620	DetectCureTDL3: DRIVER_OBJECT: 89B25850
13:19:42:687 1620	KLMD_ReadMem: Trying to ReadMemory 0x89B25850[0xA8]
13:19:42:687 1620	KLMD_ReadMem: Trying to ReadMemory 0xE1016B90[0x1A]
13:19:42:687 1620	DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi
13:19:42:687 1620	DetectCureTDL3: IrpHandler (0) addr: F7833B40
13:19:42:687 1620	DetectCureTDL3: IrpHandler (1) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (2) addr: F7833B40
13:19:42:687 1620	DetectCureTDL3: IrpHandler (3) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (4) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (5) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (6) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (7) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (8) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (9) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (10) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (11) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (12) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (13) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (14) addr: F7833B40
13:19:42:687 1620	DetectCureTDL3: IrpHandler (15) addr: F7833B40
13:19:42:687 1620	DetectCureTDL3: IrpHandler (16) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (17) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (18) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (19) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (20) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (21) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (22) addr: F7833B40
13:19:42:687 1620	DetectCureTDL3: IrpHandler (23) addr: F7833B40
13:19:42:687 1620	DetectCureTDL3: IrpHandler (24) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (25) addr: 804F9739
13:19:42:687 1620	DetectCureTDL3: IrpHandler (26) addr: 804F9739
13:19:42:687 1620	KLMD_ReadMem: Trying to ReadMemory 0xF7831864[0x400]
13:19:42:687 1620	TDL3_StartIoHookDetect: CheckParameters: 0, 00000000, 0
13:19:42:687 1620	TDL3_FileDetect: Processing driver: atapi
13:19:42:687 1620	TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys
13:19:42:687 1620	KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\atapi.sys
13:19:42:703 1620	TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: Clean
13:19:42:703 1620	
13:19:42:703 1620	DetectCureTDL3: DEVICE_OBJECT: 89AECAB8
13:19:42:703 1620	KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AECAB8
13:19:42:703 1620	DetectCureTDL3: DEVICE_OBJECT: 89AEDB00
13:19:42:703 1620	KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AEDB00
13:19:42:703 1620	KLMD_ReadMem: Trying to ReadMemory 0x89AEDB00[0x38]
13:19:42:703 1620	DetectCureTDL3: DRIVER_OBJECT: 89B25850
13:19:42:703 1620	KLMD_ReadMem: Trying to ReadMemory 0x89B25850[0xA8]
13:19:42:703 1620	KLMD_ReadMem: Trying to ReadMemory 0xE1016B90[0x1A]
13:19:42:703 1620	DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi
13:19:42:703 1620	DetectCureTDL3: IrpHandler (0) addr: F7833B40
13:19:42:703 1620	DetectCureTDL3: IrpHandler (1) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (2) addr: F7833B40
13:19:42:703 1620	DetectCureTDL3: IrpHandler (3) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (4) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (5) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (6) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (7) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (8) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (9) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (10) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (11) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (12) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (13) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (14) addr: F7833B40
13:19:42:703 1620	DetectCureTDL3: IrpHandler (15) addr: F7833B40
13:19:42:703 1620	DetectCureTDL3: IrpHandler (16) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (17) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (18) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (19) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (20) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (21) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (22) addr: F7833B40
13:19:42:703 1620	DetectCureTDL3: IrpHandler (23) addr: F7833B40
13:19:42:703 1620	DetectCureTDL3: IrpHandler (24) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (25) addr: 804F9739
13:19:42:703 1620	DetectCureTDL3: IrpHandler (26) addr: 804F9739
13:19:42:703 1620	KLMD_ReadMem: Trying to ReadMemory 0xF7831864[0x400]
13:19:42:703 1620	TDL3_StartIoHookDetect: CheckParameters: 0, 00000000, 0
13:19:42:703 1620	TDL3_FileDetect: Processing driver: atapi
13:19:42:703 1620	TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys
13:19:42:703 1620	KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\atapi.sys
13:19:42:703 1620	TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: Clean
13:19:42:703 1620	
13:19:42:703 1620	Completed
13:19:42:703 1620	
13:19:42:703 1620	Results:
13:19:42:703 1620	Memory objects infected / cured / cured on reboot:	0 / 0 / 0
13:19:42:703 1620	Registry objects infected / cured / cured on reboot:	0 / 0 / 0
13:19:42:703 1620	File objects infected / cured / cured on reboot:	0 / 0 / 0
13:19:42:703 1620	
13:19:42:703 1620	MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000
13:19:42:703 1620	UtilityDeinit: KLMD(ARK) unloaded successfully
         

Hi,

das Log ist sauber, kein TDSS...


Bitte folgende Files prüfen (die "***" durch den richtigen Pfad ersetzen!):

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Ersetzte bitte unten im Script die "***" durch den richtigen Pfad!:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

b]Open-command für exe zurücksetzen[/b]
Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad)
auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").
Dann mit Doppelklick auf die Datei ausführen, Abfrage abnicken!

Code: Alles auswählenAufklappen

ATTFilter

REGEDIT4

[HKEY_CLASSES_ROOT\exefile]
"EditFlags"=hex:d8,07,00,00
@="Anwendung"

[HKEY_CLASSES_ROOT\exefile\shell]
@=""

[HKEY_CLASSES_ROOT\exefile\shell\open]
@=""
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}]
@=""

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
         

Danach bitte noch mal MAM probieren!

chris

Sers Chris,

habe das problem, dass solange ich nur eingeschränkte konnektivitaet mit dem Internet habe, ich keinen online Scan durchführen kann... Hast du ne Idee, wieso ich da nach GMER Probleme hab? Andere Rechner kommen problemlos ins netz ueber meinen meinen Router!

Habe av.exe manuell in die antivir Quarantäne verschoben, hat aber nix geändert! Soll ich's wieder rausholen falls die online scans fuer mich wieder moeglich sind?

Gruß j.

Hi,

kann eigentlich nicht sein, GMER installiert nur einen Treiber und entfernt nichts von selbst...

Wie ist der Stand, hast Du das Avengerscript durchgeführt und das Script mit den Reg.-Einträgen? Lässt sich MAM aufrufen?
Nach dem Reg.-Script bitte neu booten!

chris

ahhhh, Hilfe Chris...

habe das Log mit Avenger nach Deinen Vorgaben erstellt, und das script hat wohl erfolgreich die av.exe gekillt.

Habe jetzt aber das problem, dass ich keine exe datei mehr öffnen kann... bei allen dateien fragt er nach dem Programm, mit dem ich es öffnen will...

hier das log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com



Platform:  Windows XP



*******************



Script file opened successfully.

Script file read successfully.



Backups directory opened successfully at C:\Avenger



*******************



Beginning to process script file:



Rootkit scan active.

No rootkits found!



File "C:\dokumente und einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\av.exe" deleted successfully.



Completed script processing.



*******************



Finished!  Terminate.
         

vielen dank, ich hoffe du kannst mir schnell helfen...

ps: Malwarebytes lässt sich natürlich ebenfalls nicht starten -> .exe

Puhhh, entwarnung, habbe die exe dateien mit hilfe von http://forum.chip.de/windows-xp/xp-keine-exe-dateien-mehr-oeffnen-673490.html wieder hinbekommen, waren wohl ein paar reg eintragungen, die von dem virus/trojaner verändert wurden.

meinst du, das selbe problem könnte auch für meine Internet connection zutreffen? wenn ja, hast du ne idee, wie man da was finden kann?

malwarebytes läuft, allerding mit der version von vorgestern, weil ich doch kein internet hab! werd mir die aktuelle mal unter http://www.malwarebytes.org/mbam/database/mbam-rules.exe runterladen, allerdings weiß ich auch nicht, ob diese version neuer ist!!

Gruß J.

hier das mbam (version von vor 2 Tagen) Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3671
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

03.02.2010 23:52:00
mbam-log-2010-02-03 (23-52-00).txt

Scan-Methode: Vollst‰ndiger Scan (C:\|D:\|E:\|I:\|)
Durchsuchte Objekte: 422642
Laufzeit: 1 hour(s), 41 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
HKEY_CLASSES_ROOT\secfile (Trojan.Fakealert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
(Keine bˆsartigen Objekte gefunden)
         

Hi,

die Datei von Chip ist mehr oder weniger das gleiche was ich vorher gepostet hatte... Musstest Du die regedit.exe in regedit.com umbenennen damit es läuft?

Da er das Internet umbiegt wäre mir neu, erstelle bitte noch ein OTL-Log mal sehen ob ich was finden kann.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

servus,

die änderungen der registry hat ein .reg datei durchgeführt, die dort steht. Hätte sonst wohl den weg mit .com gehen muessen, ist aber ja auch nix anderes...

konnte das otl extra log nicht finden, wo versteckt sich das denn?

hier das otl log:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 04.02.2010 12:14:50 - Run 4
OTL by OldTimer - Version 3.1.21.0     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 69,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 189,35 Gb Free Space | 63,52% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 149,04 Gb Total Space | 86,15 Gb Free Space | 57,81% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Programme\Prevx\prevx.exe (Prevx)
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
PRC - C:\Programme\iTunes\iTunesHelper.exe (Apple Inc.)
PRC - C:\Programme\iPod\bin\iPodService.exe (Apple Inc.)
PRC - C:\Programme\Logitech Touch Mouse Server\iTouch-Server-Win.exe (Logitech, Inc.)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Bonjour\mDNSResponder.exe (Apple Inc.)
PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
PRC - C:\Programme\VideoLAN\VLC\vlc.exe ()
PRC - C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe (Mediafour Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\HPZipm12.exe (HP)
PRC - C:\Programme\CheckPoint\SSL Network Extender\slimsvc.exe (Check Point Software Technologies)
PRC - C:\WINDOWS\system32\oodag.exe (O&O Software GmbH)
PRC - C:\WINDOWS\system32\oodtray.exe (O&O Software GmbH)
PRC - C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG)
PRC - C:\Programme\ASUS\WLAN Card Utilities\Center.exe (ASUSTeK COMPUTER INC.)
PRC - C:\WINDOWS\system32\wbem\unsecapp.exe (Microsoft Corporation)
PRC - C:\Programme\Logitech\iTouch\iTouch.exe (Logitech Inc.)
PRC - C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Programme\Logitech\iTouch\itchhk.dll (Logitech Inc.)
MOD - C:\Programme\Gemeinsame Dateien\Logitech\Scrolling\LGMSGHK.DLL (Logitech Inc.)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (CSIScanner) -- C:\Programme\Prevx\prevx.exe (Prevx)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.)
SRV - (iPod Service) -- C:\Programme\iPod\bin\iPodService.exe (Apple Inc.)
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (ServiceLayer) -- C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe (Nokia.)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (TwonkyMedia) -- C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe (PacketVideo)
SRV - (Bonjour Service) -- C:\Programme\Bonjour\mDNSResponder.exe (Apple Inc.)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (Microsoft Office Groove Audit Service) -- C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe (Microsoft Corporation)
SRV - (MacDriveService) -- C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe (Mediafour Corporation)
SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)
SRV - (cpextender) -- C:\Programme\CheckPoint\SSL Network Extender\slimsvc.exe (Check Point Software Technologies)
SRV - (O&O Defrag) -- C:\WINDOWS\system32\oodag.exe (O&O Software GmbH)
SRV - (NVSvc) -- C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (NBService) -- C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe (Nero AG)
SRV - (Adobe Version Cue CS2) -- C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe (Adobe Systems Incorporated)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (pxrts) -- C:\WINDOWS\system32\drivers\pxrts.sys (Prevx)
DRV - (pxscan) -- C:\WINDOWS\System32\drivers\pxscan.sys (Prevx)
DRV - (pxkbf) -- C:\WINDOWS\system32\drivers\pxkbf.sys (Prevx)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (USBAAPL) -- C:\WINDOWS\system32\drivers\usbaapl.sys (Apple, Inc.)
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (SASENUM) -- C:\Programme\SUPERAntiSpyware\SASENUM.SYS ( SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (GEARAspiWDM) -- C:\WINDOWS\system32\drivers\GEARAspiWDM.sys (GEAR Software Inc.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (nmwcdnsu) -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys (Nokia)
DRV - (nmwcdnsuc) -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys (Nokia)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (hwpsgt) -- C:\WINDOWS\system32\drivers\hwpsgt.sys ()
DRV - (lemsgt) -- C:\WINDOWS\system32\drivers\lemsgt.sys ()
DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Nokia)
DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Nokia)
DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)
DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (MDFSYSNT) -- C:\WINDOWS\system32\drivers\MDFSYSNT.SYS (Mediafour Corporation)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (usbser) -- C:\WINDOWS\system32\drivers\usbser.sys (Microsoft Corporation)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions)
DRV - (tapvpn) -- C:\WINDOWS\system32\drivers\tapvpn.sys (The OpenVPN Project)
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (VNA) -- C:\WINDOWS\system32\drivers\vna.sys (Check Point Software Technologies)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (MDPMGRNT) -- C:\WINDOWS\system32\drivers\MDPMGRNT.sys (Mediafour Corporation)
DRV - (ElbyCDFL) -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.)
DRV - (HPZid412) -- C:\WINDOWS\system32\drivers\HPZid412.sys (HP)
DRV - (HPZius12) -- C:\WINDOWS\system32\drivers\HPZius12.sys (HP)
DRV - (HPZipr12) -- C:\WINDOWS\system32\drivers\HPZipr12.sys (HP)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (W8100XP) -- C:\WINDOWS\system32\drivers\mrv8ka51.sys (Marvell Semiconductor, Inc)
DRV - (itchfltr) -- C:\WINDOWS\system32\drivers\itchfltr.sys (Logitech, Inc.)
DRV - (LHidUsb) -- C:\WINDOWS\system32\drivers\LHidUsb.sys (Logitech, Inc.)
DRV - (LCcfltr) -- C:\WINDOWS\system32\drivers\LCcfltr.sys (Logitech, Inc.)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.spiegel.de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://www.spiegel.de/"
FF - prefs.js..extensions.enabledItems: {ec8030f7-c20a-464f-9b1e-13a3a9e97399}:0.1.8.6
FF - prefs.js..extensions.enabledItems: fastdial@telega.phpnet.us:2.23b1
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004
FF - prefs.js..extensions.enabledItems: {27A2FD41-CB23-4518-AB5C-C25BAFFDE531}:1.4.1
FF - prefs.js..extensions.enabledItems: foxmarks@kei.com:3.1.0
FF - prefs.js..network.proxy.autoconfig_url: "74.194.250.9:9090"
FF - prefs.js..network.proxy.socks_version: 4
 
FF - HKLM\software\mozilla\Firefox\Extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2009.07.07 18:41:34 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.01.29 00:35:22 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.01.10 15:26:12 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2009.11.08 15:47:15 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.11.08 15:47:15 | 00,000,000 | ---D | M]
 
[2008.06.18 12:02:15 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.02.01 20:17:53 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\hywfbfip.Jo\extensions
[2009.12.03 18:14:04 | 00,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\hywfbfip.Jo\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.12.06 21:53:31 | 00,000,000 | ---D | M] (Cryptload Link Copier) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\hywfbfip.Jo\extensions\{ec8030f7-c20a-464f-9b1e-13a3a9e97399}
[2009.12.03 18:03:36 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions
[2009.01.14 11:55:32 | 00,000,000 | ---D | M] (SwitchProxy Tool) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\{27A2FD41-CB23-4518-AB5C-C25BAFFDE531}
[2009.07.06 12:30:53 | 00,000,000 | ---D | M] (Cryptload Link Copier) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\{ec8030f7-c20a-464f-9b1e-13a3a9e97399}
[2009.08.11 22:15:23 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\fastdial@telega.phpnet.us
[2009.05.05 20:22:05 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\foxmarks@kei.com
[2009.04.15 18:19:32 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\moveplayer@movenetworks.com
[2008.03.27 10:16:22 | 00,002,921 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\searchplugins\daemon-search.xml
[2008.07.05 15:37:01 | 00,000,432 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\searchplugins\serienjunkies.xml
[2010.02.01 20:17:53 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2008.08.27 19:01:52 | 04,784,128 | ---- | M] (Lizardtech Software) -- C:\Programme\Mozilla Firefox\plugins\npexview.dll
[2006.09.26 11:03:14 | 00,098,304 | ---- | M] (Zylom) -- C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
[2009.11.03 03:14:39 | 00,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.11.03 03:14:39 | 00,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.11.03 03:14:39 | 00,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.11.03 03:14:39 | 00,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.11.03 03:14:39 | 00,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: (307229 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 10574 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (SnapFlash Class) - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Programme\Gemeinsame Dateien\Justdo\Jd2002.dll (justDo Software)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
O4 - HKLM..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe (ASUSTeK COMPUTER INC.)
O4 - HKLM..\Run: [GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
O4 - HKLM..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe (Apple Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe (O&O Software GmbH)
O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.)
O4 - HKLM..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe (Logitech Inc.)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [Google Update] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe (Google Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Logitech Touch Mouse Server.lnk = C:\Programme\Logitech Touch Mouse Server\iTouch-Server-Win.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Save Flash with Flash Catcher - C:\Programme\Gemeinsame Dateien\Justdo\IECatcher.DLL (justDo Software)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll (Sun Microsystems, Inc.)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Programme\Gemeinsame Dateien\Justdo\IECatcher.DLL (justDo Software)
O9 - Extra 'Tools' menuitem : Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Programme\Gemeinsame Dateien\Justdo\IECatcher.DLL (justDo Software)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKLM\..Trusted Domains: 50 domain(s) and sub-domain(s) not assigned to a zone.
O15 - HKCU\..Trusted Domains: 49 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206541751656 (WUWebControl Class)
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab (Reg Error: Key error.)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206556250812 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\jpip {B92DD248-E3D5-4A92-B311-C9B841681455} - C:\Programme\LizardTech\Express View\expressview.dll (Lizardtech Software)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\sidlet {B92DD248-E3D5-4A92-B311-C9B841681455} - C:\Programme\LizardTech\Express View\expressview.dll (Lizardtech Software)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.11.04 00:55:36 | 00,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH)
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.02.03 21:47:06 | 00,000,000 | ---D | C] -- C:\Avenger
[2010.02.03 13:17:49 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\tdsskiller
[2010.02.01 13:51:48 | 00,000,000 | -HSD | C] -- C:\RECYCLER
[2010.02.01 13:22:47 | 00,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.02.01 13:06:48 | 00,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.02.01 13:06:48 | 00,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.02.01 13:06:48 | 00,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.02.01 13:06:48 | 00,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.02.01 13:05:07 | 00,000,000 | ---D | C] -- C:\ComboFix
[2010.02.01 13:04:54 | 00,000,000 | ---D | C] -- C:\Qoobox
[2010.01.31 17:52:50 | 00,000,000 | ---D | C] -- C:\rsit
[2010.01.31 12:33:54 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.01.30 16:51:54 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Scan2PDF
[2010.01.25 22:37:41 | 00,000,000 | ---D | C] -- C:\Programme\Hobbyist Software
[2010.01.25 20:23:23 | 00,000,000 | ---D | C] -- C:\Programme\Logitech Touch Mouse Server
[2010.01.13 16:34:59 | 00,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2010.01.08 19:29:44 | 00,053,136 | ---- | C] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll
[2010.01.08 19:29:44 | 00,047,664 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys
[2010.01.08 19:29:44 | 00,030,280 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxscan.sys
[2010.01.08 19:29:43 | 00,024,496 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxkbf.sys
[2010.01.08 19:29:43 | 00,000,000 | ---D | C] -- C:\Programme\Prevx
[2010.01.08 19:29:39 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
[2010.01.08 18:50:33 | 00,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Datenquellen
[2010.01.08 16:36:20 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.01.08 16:35:52 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.01.08 00:54:34 | 00,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.01.06 22:04:55 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.01.06 20:32:23 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.06 20:32:22 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.01.06 20:32:20 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.06 20:32:20 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.01.06 20:31:13 | 00,513,536 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.01.06 20:23:49 | 00,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.01.06 16:46:57 | 00,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.01.05 22:23:52 | 00,096,104 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.01.05 22:23:52 | 00,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.01.05 22:23:52 | 00,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.01.05 22:23:51 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2009.07.07 18:18:48 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Nokia
[2008.05.15 19:27:00 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
[2008.03.25 23:50:32 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.03.25 23:47:27 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2008.03.25 23:47:27 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.02.04 12:11:50 | 00,000,051 | ---- | M] () -- C:\WINDOWS\iTouch.ini
[2010.02.04 12:11:24 | 00,088,723 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.02.04 12:11:20 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.02.04 12:11:05 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.02.04 12:11:03 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.02.04 12:10:58 | 02,653,493 | ---- | M] () -- C:\WINDOWS\System32\oodbs.lor
[2010.02.04 01:58:08 | 12,582,912 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.02.04 01:58:08 | 00,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.02.04 01:25:18 | 00,001,220 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-776561741-583907252-725345543-1003UA.job
[2010.02.03 21:52:29 | 00,015,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.03 21:51:48 | 00,000,527 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\SetExe.reg
[2010.02.03 21:45:54 | 00,135,168 | ---- | M] () -- C:\zip.exe
[2010.02.03 21:45:54 | 00,019,286 | ---- | M] () -- C:\cleanup.exe
[2010.02.03 21:45:54 | 00,000,574 | ---- | M] () -- C:\cleanup.bat
[2010.02.03 21:43:33 | 00,013,824 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\rifW
[2010.02.03 12:43:08 | 00,000,638 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.02.03 12:43:08 | 00,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.02.03 12:43:08 | 00,000,211 | -HS- | M] () -- C:\boot.ini
[2010.02.02 18:48:06 | 00,000,458 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.02.01 12:37:24 | 03,841,968 | R--- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
[2010.01.31 17:52:04 | 00,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
[2010.01.30 17:25:40 | 00,010,606 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100130_172508.reg
[2010.01.30 12:25:00 | 00,001,168 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-776561741-583907252-725345543-1003Core.job
[2010.01.28 11:21:01 | 00,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.01.25 20:23:29 | 00,000,842 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Logitech Touch Mouse Server.lnk
[2010.01.13 17:09:53 | 00,053,136 | ---- | M] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll
[2010.01.13 17:09:52 | 00,047,664 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys
[2010.01.13 17:09:52 | 00,030,280 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxscan.sys
[2010.01.13 17:09:52 | 00,024,496 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxkbf.sys
[2010.01.13 17:09:43 | 00,000,032 | ---- | M] () -- C:\WINDOWS\wininit.ini
[2010.01.12 20:52:41 | 00,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.01.12 16:34:39 | 00,691,696 | ---- | M] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.01.08 16:34:53 | 00,001,475 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Windows-Explorer.lnk
[2010.01.07 16:07:14 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.06 20:54:52 | 00,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\avenger.exe
[2010.01.06 20:31:23 | 00,513,536 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.01.05 22:24:03 | 00,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.02.03 22:07:54 | 00,002,600 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\xp_exe_fix.reg
[2010.02.03 21:49:43 | 00,000,527 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\SetExe.reg
[2010.02.03 21:45:54 | 00,135,168 | ---- | C] () -- C:\zip.exe
[2010.02.03 21:45:54 | 00,019,286 | ---- | C] () -- C:\cleanup.exe
[2010.02.03 21:45:54 | 00,000,574 | ---- | C] () -- C:\cleanup.bat
[2010.02.01 13:06:48 | 00,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.02.01 13:06:48 | 00,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.02.01 13:06:48 | 00,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.02.01 13:06:48 | 00,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.02.01 13:06:48 | 00,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.02.01 12:36:55 | 03,841,968 | R--- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
[2010.01.31 17:51:57 | 00,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
[2010.01.31 02:14:11 | 00,336,896 | -HS- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\av.exe
[2010.01.30 17:25:10 | 00,010,606 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100130_172508.reg
[2010.01.30 17:00:27 | 00,013,824 | -HS- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\rifW
[2010.01.25 20:23:29 | 00,000,842 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Logitech Touch Mouse Server.lnk
[2010.01.08 19:29:38 | 00,000,032 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2010.01.06 20:54:46 | 00,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\avenger.exe
[2010.01.05 22:24:03 | 00,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2009.12.02 15:00:43 | 00,000,051 | ---- | C] () -- C:\WINDOWS\iTouch.ini
[2009.08.23 09:19:11 | 00,720,160 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.08.14 08:35:44 | 00,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.07.14 22:06:33 | 00,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2009.07.14 22:06:33 | 00,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2009.06.26 23:28:38 | 00,004,757 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2009.06.25 12:27:40 | 00,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2009.05.24 17:28:39 | 00,000,878 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\coreavc.ini
[2009.05.02 18:04:28 | 00,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2009.02.11 15:43:54 | 00,137,344 | ---- | C] () -- C:\WINDOWS\System32\drivers\hwpsgt.sys
[2009.02.11 15:43:54 | 00,009,472 | ---- | C] () -- C:\WINDOWS\System32\drivers\lemsgt.sys
[2009.02.10 18:19:50 | 00,000,126 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2008.11.19 01:26:39 | 00,000,052 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.11.14 17:02:38 | 00,000,101 | ---- | C] () -- C:\WINDOWS\CMMIXER.INI
[2008.11.11 00:23:57 | 00,755,027 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008.11.11 00:23:56 | 00,159,839 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2008.10.07 08:13:30 | 00,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.10.07 08:13:22 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.09.09 18:57:50 | 00,000,053 | ---- | C] () -- C:\WINDOWS\COLONIZ.INI
[2008.09.01 12:04:01 | 00,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2008.09.01 12:03:59 | 00,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini
[2008.09.01 12:03:42 | 00,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2008.09.01 12:03:41 | 00,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.07.23 17:50:52 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.07.23 17:47:34 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.07.23 17:47:34 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.07.23 17:46:38 | 00,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2008.07.16 21:46:40 | 00,000,221 | ---- | C] () -- C:\WINDOWS\NCLogConfig.ini
[2008.07.11 10:58:47 | 00,000,067 | ---- | C] () -- C:\WINDOWS\Power Video Converter.INI
[2008.06.20 13:38:17 | 00,005,087 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ywasvxup.hvs
[2008.04.29 00:24:35 | 00,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.04.16 22:42:46 | 00,000,206 | ---- | C] () -- C:\WINDOWS\usdthank.ini
[2008.04.16 22:42:46 | 00,000,031 | ---- | C] () -- C:\WINDOWS\idc.ini
[2008.03.29 19:17:53 | 00,000,376 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.03.28 15:44:33 | 00,000,311 | ---- | C] () -- C:\WINDOWS\game.ini
[2008.03.27 10:12:38 | 00,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2008.03.26 23:47:34 | 00,000,000 | ---- | C] () -- C:\WINDOWS\oodcnt.INI
[2008.03.26 18:44:45 | 00,015,360 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.03.26 15:22:12 | 00,004,333 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2008.03.26 01:05:56 | 00,077,824 | R--- | C] () -- C:\WINDOWS\System32\HPZIDS01.dll
[2008.03.26 01:02:14 | 00,001,049 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2008.03.26 01:01:38 | 00,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
[2008.03.26 01:01:00 | 00,028,165 | ---- | C] () -- C:\WINDOWS\cmijack.ini
[2008.03.26 01:01:00 | 00,018,240 | ---- | C] () -- C:\WINDOWS\cmaudio.ini
[2008.03.26 01:01:00 | 00,000,411 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2008.03.26 01:01:00 | 00,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2008.03.26 00:33:22 | 00,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.03.25 23:55:40 | 00,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2008.03.25 23:55:38 | 00,007,559 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.03.25 23:55:36 | 00,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2007.10.12 23:20:06 | 00,151,417 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat
[2007.04.19 12:26:00 | 01,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.04.19 12:26:00 | 01,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.04.19 12:26:00 | 01,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.04.19 12:26:00 | 00,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.04.19 12:26:00 | 00,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.04.19 12:26:00 | 00,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.04.19 12:26:00 | 00,212,992 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006.03.18 14:16:04 | 00,540,178 | ---- | C] () -- C:\WINDOWS\System32\x264vfw.dll
[2004.09.16 21:24:26 | 03,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2001.07.07 03:00:00 | 00,003,254 | ---- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\***\Desktop\05 Titel 05.m4a:SummaryInformation
@Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7F4E393D
@Alternate Data Stream - 137 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FB1B13D8
< End of report >
         

Hi,

die Saubacke ist noch da...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\lsdelete.exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\av.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html)



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\av.exe
         

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

sers

kann ja immer noch nicht online gehen... arbeite gerade von einem mac aus, daher 2 fragen:

1. kann ich die dateien einfach auf nen stick kopieren, und dann über den mac hochladen, also gehe ich richt in der annahme, dass ich den mac nicht infiziere?

2. infiziere ich dadurch "manuell" mmeinen stick? (autostart ist standardmässig unterdrückt, deshalb bilde ich mir ein, dass es noch trotz mehrfachen anschließens noch sauber ist)

dannach werd ich dann avenger durchlaufen lassen!

Gruß J.

Hier schon mal der Scan der av.exe, habs einfach so gemacht, wie oben angekündigt:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.02.04	-
AhnLab-V3	5.0.0.2	2010.02.04	-
AntiVir	7.9.1.158	2010.02.04	TR/FakeRean.A.28
Antiy-AVL	2.0.3.7	2010.02.04	-
Authentium	5.2.0.5	2010.02.04	-
Avast	4.8.1351.0	2010.02.02	Win32:Rootkit-gen
AVG	9.0.0.730	2010.02.04	Crypt.OCH
BitDefender	7.2	2010.02.04	-
CAT-QuickHeal	10.00	2010.02.04	(Suspicious) - DNAScan
ClamAV	0.96.0.0-git	2010.02.04	-
Comodo	3819	2010.02.04	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.1.12222	2010.02.04	-
eTrust-Vet	35.2.7283	2010.02.04	-
F-Prot	4.5.1.85	2010.02.04	-
F-Secure	9.0.15370.0	2010.02.04	Rogue:W32/XPAntivirus.GSA
Fortinet	4.0.14.0	2010.02.04	-
GData	19	2010.02.04	Win32:Rootkit-gen
Ikarus	T3.1.1.80.0	2010.02.04	-
Jiangmin	13.0.900	2010.02.04	-
K7AntiVirus	7.10.966	2010.02.03	-
Kaspersky	7.0.0.125	2010.02.04	-
McAfee	5882	2010.02.04	Generic FakeAlert!ec
McAfee+Artemis	5882	2010.02.04	Generic FakeAlert!ec
McAfee-GW-Edition	6.8.5	2010.02.04	Trojan.FakeRean.A.28
Microsoft	1.5406	2010.02.04	Trojan:Win32/FakeRean
NOD32	4836	2010.02.04	a variant of Win32/Kryptik.CBX
Norman	6.04.03	2010.02.04	-
nProtect	2009.1.8.0	2010.02.04	-
Panda	10.0.2.2	2010.02.04	Trj/CI.A
PCTools	7.0.3.5	2010.02.04	-
Prevx	3.0	2010.02.04	Medium Risk Malware
Rising	22.33.03.04	2010.02.04	Packer.Win32.Agent.GEN
Sophos	4.50.0	2010.02.04	Mal/EncPk-HJ
Sunbelt	3.2.1858.2	2010.02.04	Trojan.Win32.Generic!BT
TheHacker	6.5.1.0.180	2010.02.04	Trojan/Kryptik.cbx
TrendMicro	9.120.0.1004	2010.02.04	TROJ_FAKEAL.SMDO
VBA32	3.12.12.1	2010.02.03	-
ViRobot	2010.2.4.2172	2010.02.04	-
VirusBuster	5.0.21.0	2010.02.04	-
weitere Informationen
File size: 336896 bytes
MD5...: 0915bd7b0f852c7702f962ec1cda3ab3
SHA1..: df8622c0a8f63de3e37eaeb105d63be7c98b6eeb
SHA256: a05840c49f517cfc4bf9f84900290f5de7f55066bfc6b14effe483cc8b81c347
ssdeep: 6144:orit9HKIQiv5jHkvwCMb3IRdm4hu/vhBpPBq8XSc9QhpMo/Fn+6rWaeQOHS
:jt1N5jHk/MmyhBfJF9KnF+OWJjH
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10bab
timedatestamp.....: 0x4685e94b (Sat Jun 30 05:25:31 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xfcaa 0xfe00 7.99 c3c00e081c67d0004852ec3334ff617f
.rdata 0x11000 0x447e8 0x41a00 6.03 e48da8a5180b5af75180d3022e4520d1
.data 0x56000 0xdc25e 0x200 0.54 5090e75545c10f9e900359028a908765
.rsrc 0x133000 0x275 0x400 3.69 7d75ee24113843310de10b7a708794ec
.reloc 0x134000 0x90 0x200 2.08 c39c982c742d091656314894791f501d

( 7 imports )
> USER32.DLL: GetClientRect, SetClipboardData, OffsetRect, GetWindowRect, GetFocus, IsWindowEnabled, TrackPopupMenu, SetWindowsHookExW, CallNextHookEx, ReleaseDC
> GDI32.DLL: SetBkColor, SelectObject, CreateBitmap, BitBlt, GetTextExtentPoint32W
> KERNEL32.DLL: GetOEMCP, GetCurrentProcess, GetModuleHandleW, CreateEventW, SetConsoleCP, DuplicateHandle, InterlockedDecrement, CreateFileA, HeapAlloc, GetCommandLineA, GetCurrentThreadId, CompareFileTime, GetCPInfo, MultiByteToWideChar, GetCommandLineW, LocalAlloc, Sleep, TlsSetValue, GetCurrentProcessId, WriteFile, GetProcessHeap, GetModuleHandleA, SetStdHandle, GetTempPathW, ResetEvent, GetModuleFileNameA, GetACP, GetTickCount, GetStartupInfoA, VirtualAlloc, FindFirstFileW, InterlockedIncrement, ExitProcess, GetVersion, LCMapStringA, GetProcAddress
> MSVCRT.DLL: _terminate@@YAXXZ, memcpy, wcsrchr, malloc, _amsg_exit
> LZ32.DLL: LZClose, LZRead, LZCopy
> ADVAPI32.DLL: RegCreateKeyExW, RegDeleteKeyA, RegCloseKey, RegDeleteValueW, RegEnumValueA
> OLE32.DLL: CoRegisterPSClsid, CoTaskMemRealloc

( 0 exports )
RDS...: NSRL Reference Data Set
-
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E2E95C4300F62FBC24C005A7D90D680092923153' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E2E95C4300F62FBC24C005A7D90D680092923153</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
         

und die isdelete.exe:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.02.04	-
AhnLab-V3	5.0.0.2	2010.02.04	-
AntiVir	7.9.1.158	2010.02.04	-
Antiy-AVL	2.0.3.7	2010.02.04	-
Authentium	5.2.0.5	2010.02.04	-
Avast	4.8.1351.0	2010.02.02	-
AVG	9.0.0.730	2010.02.04	-
BitDefender	7.2	2010.02.04	-
CAT-QuickHeal	10.00	2010.02.04	-
ClamAV	0.96.0.0-git	2010.02.04	-
Comodo	3819	2010.02.04	-
DrWeb	5.0.1.12222	2010.02.04	-
eSafe	7.0.17.0	2010.02.04	-
eTrust-Vet	35.2.7283	2010.02.04	-
F-Prot	4.5.1.85	2010.02.04	-
F-Secure	9.0.15370.0	2010.02.04	-
Fortinet	4.0.14.0	2010.02.04	-
GData	19	2010.02.04	-
Ikarus	T3.1.1.80.0	2010.02.04	-
Jiangmin	13.0.900	2010.02.04	-
K7AntiVirus	7.10.966	2010.02.03	-
Kaspersky	7.0.0.125	2010.02.04	-
McAfee	5882	2010.02.04	-
McAfee+Artemis	5882	2010.02.04	-
McAfee-GW-Edition	6.8.5	2010.02.04	-
Microsoft	1.5406	2010.02.04	-
NOD32	4836	2010.02.04	-
Norman	6.04.03	2010.02.04	-
nProtect	2009.1.8.0	2010.02.04	-
Panda	10.0.2.2	2010.02.04	-
PCTools	7.0.3.5	2010.02.04	-
Rising	22.33.03.04	2010.02.04	-
Sophos	4.50.0	2010.02.04	-
Sunbelt	3.2.1858.2	2010.02.04	-
TheHacker	6.5.1.0.180	2010.02.04	-
TrendMicro	9.120.0.1004	2010.02.04	-
VBA32	3.12.12.1	2010.02.03	-
ViRobot	2010.2.4.2172	2010.02.04	-
VirusBuster	5.0.21.0	2010.02.04	-
weitere Informationen
File size: 15688 bytes
MD5...: 6dc73e5ca9ca2ae6bbdd29cdbe0ac872
SHA1..: d01670781288097f3b832ea42b5cd20c5f835842
SHA256: c75fe79f4dbd65ad1aadc65ec40d6d0442a6969410cee916837da14e4dc7fe98
ssdeep: 192:22O1JIzcmFGZ4ujHnBaoHmei1Q9sJwF930LyowJL/aMjGwP7PM20e+ebM8JM
u74V:sOc5nnBjHVMQ9sJwFiLYJLWwXbHEb
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x22f0
timedatestamp.....: 0x496f34ab (Thu Jan 15 13:05:47 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1362 0x1400 5.78 e700c1b5c2353a10b2db729b156207e1
.rdata 0x3000 0x3ac 0x400 4.63 2d47414238d9b93e57a78a157c9d3919
.data 0x4000 0x998 0xa00 3.05 fa1b42f5935800f3f30682d2b1422656
.rsrc 0x5000 0x1b4 0x200 5.09 af5e12250c526d183544eef9776736bc

( 1 imports )
> ntdll.dll: RtlCreateHeap, NtTerminateProcess, RtlFreeHeap, RtlInitUnicodeString, RtlDestroyHeap, NtDisplayString, ZwClose, ZwDelayExecution, memcpy, wcscat, ZwReadFile, wcslen, ZwSetInformationFile, memset, RtlAllocateHeap, ZwDeleteFile, ZwOpenFile, ZwQueryInformationFile, wcscpy, NtQuerySystemTime, _snwprintf, strlen, strcpy, RtlUnicodeStringToAnsiString, ZwCreateFile, RtlTimeToTimeFields, ZwWriteFile, strcat

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: Lavasoft AB
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 9:51 AM 9/4/2009
verified.....: -
         

Hi,

da ich keinen Startpunkt für die av.exe gefunden habe, versuchen wir mal den einfachen weg:
Lösche die Datei av.exe und leere dann den Papierkorb (auf keinen Fall Doppelklicken/Ausführen!). Geht das, dann läuft sie auch nicht, geht das nicht, dann gibt es einen versteckten Startpunkt...

Den Mac dürftest Du mit den Sachen nicht infizieren können (unix-derivat), den stick auch nicht. Nur vom PC aus halt unter Windows die Dateien nicht ausführen!

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

hey,

bevor ich das gleich versuche, hier das avanger und das mbam log

Avenger:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\av.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

glaub, jetzt ist sie weg - jedenfalls in den lokalen einstellungen nicht mehr!!