| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sysWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.02.2010, 17:26
| #1 |
| |  Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys Ich versuche den Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys zu entfernen. Habe es bereits nach Anweisung CCleaner, Malwarebytes und Avenger versucht. Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open file "C:\WINDOWS\system32\drivers\jkxpflaj.sys" Deletion of file "C:\WINDOWS\system32\drivers\jkxpflaj.sys" failed! Status: 0xc0000001 (STATUS_UNSUCCESSFUL) Completed script processing. ******************* Finished! Terminate. Eine anschließende Überprüfung mit Malwarebytes bring folgendes Ergebnis. Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3796 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 28.02.2010 00:56:01 mbam-log-2010-02-28 (00-56-01).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 254938 Laufzeit: 1 hour(s), 17 minute(s), 14 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370603.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370613.exe (Trojan.Banker) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\jkxpflaj.sys (Rootkit.Agent) -> Delete on reboot. Der Rootkit bleibt, obwohl ich ihm bereits mehrfach mit Avenger und Malwarebyts versucht habe zu entfernen. Der Rootkit scheint sich immer wieder selbst zu installieren. Nach dem entfernen taucht er mit aktuellem Datum wieder auf. Ich bin schon vom Anbieter gesperrt worden wg. Massenmailverkehr, traue mich fast nicht mehr ins Internet. Ich bitte um Hilfe. |
|
01.03.2010, 13:55
| #3 |
| | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys Hallo,
__________________ich habe RSIT gestartet und das ist das Ergebnis. Leider ziemlich umfangreich, ich hoffe ich habe nichts falsch gemacht. Logfile of random's system information tool 1.06 (written by random/random) Run by **** at 2010-03-01 13:36:37 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 50 GB (62%) free of 81 GB Total RAM: 895 MB (20% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:36:50, on 01.03.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\CheckPoint\ZAForceField\IswSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\CheckPoint\ZAForceField\ForceField.exe C:\Programme\Gemeinsame Dateien\AAV\aavus.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wbsecsvc.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\PESTPA~1\PPMemCheck.exe C:\PROGRA~1\PESTPA~1\CookiePatrol.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MESSEN~1\Msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Marion Kaiser\Eigene Dateien\Downloads\RSIT.exe C:\Programme\trend micro\Marion Kaiser.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PestPatrolRegistration] C:\Programme\PestPatrol\Register.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C-\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c " O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ISW] "C:\Programme\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden" O4 - HKLM\..\Run: [MaxMenuMgr] "C:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [EPSON SX510W Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE /FU "C:\WINDOWS\TEMP\E_SCF.tmp" /EF "HKCU" O4 - HKCU\..\Run: [Epson Stylus SX510W(Netzwerk)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE /FU "C:\WINDOWS\TEMP\E_SD2.tmp" /EF "HKCU" O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138609647437 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: Seagate Service (FreeAgentGoNext Service) - Seagate Technology LLC - C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programme\CheckPoint\ZAForceField\IswSvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 12736 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\Epson Printer Software Downloader.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}] Yahoo! Toolbar Helper - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2005-09-24 63136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 184423] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}] ZoneAlarm Toolbar Registrar - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2009-10-14 578928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9421DD08-935F-4701-A9CA-22DF90AC4EA6}] Easy Photo Print - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll [2008-04-02 266240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-12-04 256112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}] EpsonToolBandKicker Class - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar mit Pop-Up-Blocker - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384] {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640] {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Easy Photo Print - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll [2008-04-02 266240] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-12-04 256112] {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - ZoneAlarm Toolbar - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2009-10-14 578928] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-12-14 577536] "AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2004-07-22 88361] "MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [2004-08-04 59392] "PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168] "PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168] "AntivirusRegistration"=C:\Programme\CA\Etrust Antivirus\Register.exe [2005-08-22 258048] "IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2004-08-04 208952] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2005-10-28 761945] "PestPatrolRegistration"=C:\Programme\PestPatrol\Register.exe [2005-08-22 180224] "PestPatrol Control Center"=C-\PROGRA~1\PESTPA~1\PPControl.exe [] "PPMemCheck"=C:\PROGRA~1\PESTPA~1\PPMemCheck.exe [2004-04-02 148480] "CookiePatrol"=C:\PROGRA~1\PESTPA~1\CookiePatrol.exe [2005-01-10 73728] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] "RemoteControl"=C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe [2004-11-02 32768] "PCMService"=C:\Programme\Home Cinema\PowerCinema\PCMService.exe [2006-02-09 143360] "InstantOn"=C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe [2005-03-26 93640] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2006-01-27 180269] "PCSuiteTrayApplication"=C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe [2006-11-08 222208] "QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2008-05-27 413696] "ContentTransferWMDetector.exe"=C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe [2008-07-11 423200] "EEventManager"=C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe [2009-01-12 669520] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2009-11-22 1037192] "ISW"=C:\Programme\CheckPoint\ZAForceField\ForceField.exe [2009-10-14 730480] "MaxMenuMgr"=C:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe [2009-03-27 181544] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "MSMSGS"=C:\PROGRA~1\MESSEN~1\Msmsgs.exe [2005-08-31 1658592] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480] "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-10-28 68856] "EPSON SX510W Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE [2008-11-20 199680] "Epson Stylus SX510W(Netzwerk)"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE [2008-11-20 199680] "WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe [2006-11-03 204288] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] C:\Programme\BearShare\BearShare.exe /pause [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips GoGear Spark Gere-Manager.lnk] C:\PROGRA~1\Philips\GOGEAR~1\main.exe [2009-04-10 7974455] C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2005-11-01 47616] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger" "C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax" "C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting" "C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome" "C:\Programme\MEDION\medionmusic_manager_gold\MusicManager.exe"="C:\Programme\MEDION\medionmusic_manager_gold\MusicManager.exe:*  isabled:medionmu sic manager""%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:* isabled:Firefox""C:\Dokumente und Einstellungen\Marion Kaiser\Lokale Einstellungen\Temp\blobby\volley.exe"="C:\Dokumente und Einstellungen\Marion Kaiser\Lokale Einstellungen\Temp\blobby\volley.exe:* isabled:volley""C:\Dokumente und Einstellungen\Marion Kaiser\Eigene Dateien\Spiel_DL\volley.exe"="C:\Dokumente und Einstellungen\Marion Kaiser\Eigene Dateien\Spiel_DL\volley.exe:* isabled:volley""C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Sony\Media Manager for WALKMAN\MediaManager.exe"="C:\Programme\Sony\Media Manager for WALKMAN\MediaManager.exe:*:Enabled:Media Manager for WALKMAN 1.2" "C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:* isabled:AOL 9.0""C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:* isabled:AOL 9.0""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:* isabled:AOL 9.0 (Connectivity Service Dialer)""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:* isabled:AOL 9.0 (Connectivity Service)""C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe"="C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe:* isabled:Microsoft Flight Simulator 2004""C:\Programme\EpsonNet\EpsonNet Setup\tool09\ENEasyApp.exe"="C:\Programme\EpsonNet\EpsonNet Setup\tool09\ENEasyApp.exe:*:Enabled:EpsonNet Setup" "C:\Programme\Epson Software\Event Manager\EEventManager.exe"="C:\Programme\Epson Software\Event Manager\EEventManager.exe:*:Enabled:EEventManager Application" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger" "C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe"="C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe:*:enabled:Microsoft Flight Simulator 2004" "C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0" "C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)" "C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:enabled:Skype" "C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting" "C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6871721e-b8ed-11de-97cf-0040d0892b70}] shell\AutoRun\command - F:\installer.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{947c6957-aecc-11da-9302-806d6172696f}] shell\AutoRun\command - D:\setupSNK.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e22b02b0-ca44-11de-97eb-0040d0892b70}] shell\AutoRun\command - F:\Menu.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1f263b2-b49f-11de-97c8-0040d0892b70}] shell\AutoRun\command - F:\Menu.exe ======List of files/folders created in the last 1 months====== 2010-02-26 20:37:06 ----D---- C:\Programme\trend micro 2010-02-26 20:37:05 ----D---- C:\rsit 2010-02-26 18:55:20 ----D---- C:\Dokumente und Einstellungen\Marion Kaiser\Anwendungsdaten\Malwarebytes 2010-02-26 18:55:08 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-02-26 18:55:07 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-02-24 12:59:14 ----D---- C:\Programme\Seagate 2010-02-24 12:59:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Seagate 2010-02-24 12:57:13 ----D---- C:\Dokumente und Einstellungen\Marion Kaiser\Anwendungsdaten\Leadertech 2010-02-24 06:16:42 ----HDC---- C:\WINDOWS\$NtUninstallKB979306$ 2010-02-19 11:54:44 ----D---- C:\Programme\Sophos 2010-02-14 17:11:17 ----D---- C:\Dokumente und Einstellungen\Marion Kaiser\Anwendungsdaten\CheckPoint 2010-02-14 17:10:59 ----D---- C:\Programme\CheckPoint 2010-02-14 17:10:55 ----A---- C:\WINDOWS\system32\vsregexp.dll 2010-02-14 17:10:53 ----A---- C:\WINDOWS\system32\zlcommdb.dll 2010-02-14 17:10:53 ----A---- C:\WINDOWS\system32\zlcomm.dll 2010-02-14 17:10:47 ----A---- C:\WINDOWS\system32\vswmi.dll 2010-02-14 17:10:45 ----D---- C:\WINDOWS\system32\ZoneLabs 2010-02-14 17:10:45 ----A---- C:\WINDOWS\system32\zpeng25.dll 2010-02-14 17:10:45 ----A---- C:\WINDOWS\system32\vsxml.dll 2010-02-14 17:10:45 ----A---- C:\WINDOWS\system32\vspubapi.dll 2010-02-14 17:10:45 ----A---- C:\WINDOWS\system32\vsmonapi.dll 2010-02-14 17:10:43 ----D---- C:\Programme\Zone Labs 2010-02-14 17:09:45 ----D---- C:\WINDOWS\Internet Logs 2010-02-14 17:09:44 ----A---- C:\WINDOWS\system32\vsutil.dll 2010-02-14 17:09:44 ----A---- C:\WINDOWS\system32\vsinit.dll 2010-02-14 17:09:44 ----A---- C:\WINDOWS\system32\vsdata.dll 2010-02-10 18:09:59 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$ 2010-02-10 18:09:53 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$ 2010-02-10 18:06:37 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$ 2010-02-10 18:06:31 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$ 2010-02-10 18:06:25 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$ 2010-02-10 18:06:17 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$ 2010-02-10 18:06:06 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$ 2010-02-10 18:05:49 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$ 2010-02-10 18:05:34 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$ ======List of files/folders modified in the last 1 months====== 2010-02-28 19:24:41 ----D---- C:\WINDOWS\Temp 2010-02-28 16:14:45 ----D---- C:\WINDOWS\Prefetch 2010-02-28 16:06:42 ----D---- C:\Programme\Mozilla Firefox 2010-02-28 10:24:06 ----D---- C:\WINDOWS\system32 2010-02-28 10:24:05 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2010-02-28 10:21:28 ----D---- C:\Dokumente und Einstellungen\Marion Kaiser\Anwendungsdaten\OpenOffice.org2 2010-02-28 10:20:00 ----D---- C:\Programme\PestPatrol 2010-02-28 10:19:33 ----A---- C:\WINDOWS\ModemLog_Creatix 2.0 AC'97 Modem.txt 2010-02-28 10:19:13 ----D---- C:\WINDOWS\system32\CatRoot2 2010-02-28 01:08:22 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-02-28 00:59:41 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$ 2010-02-28 00:59:41 ----D---- C:\WINDOWS\system32\drivers 2010-02-27 22:03:19 ----D---- C:\WINDOWS 2010-02-27 22:01:51 ----HDC---- C:\WINDOWS\$NtUninstallKB896358$ 2010-02-27 20:05:44 ----RD---- C:\Programme 2010-02-27 11:02:54 ----D---- C:\WINDOWS\system32\FxsTmp 2010-02-27 10:47:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-02-26 20:24:24 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$ 2010-02-26 18:37:30 ----D---- C:\Programme\CCleaner 2010-02-24 12:59:38 ----SHD---- C:\WINDOWS\Installer 2010-02-24 12:59:38 ----HD---- C:\Programme\InstallShield Installation Information 2010-02-24 12:56:49 ----HD---- C:\WINDOWS\inf 2010-02-24 06:18:09 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-02-24 06:18:07 ----D---- C:\WINDOWS\ie8updates 2010-02-24 06:16:58 ----HD---- C:\WINDOWS\$hf_mig$ 2010-02-21 20:16:18 ----A---- C:\WINDOWS\NeroDigital.ini 2010-02-20 18:15:07 ----D---- C:\WINDOWS\WinSxS 2010-02-15 13:47:36 ----D---- C:\Programme\Spybot - Search & Destroy 2010-02-14 20:08:56 ----D---- C:\WINDOWS\Debug 2010-02-13 07:38:00 ----D---- C:\WINDOWS\system32\config 2010-02-13 07:37:33 ----D---- C:\WINDOWS\system32\wbem 2010-02-13 07:37:32 ----D---- C:\WINDOWS\Registration 2010-02-13 07:35:38 ----D---- C:\WINDOWS\system32\Restore 2010-02-13 06:14:02 ----D---- C:\WINDOWS\network diagnostic ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK8;AMD Athlon64-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2004-05-08 38912] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 SAVRKBootTasks;Boot Tasks Driver; \??\C:\WINDOWS\system32\SAVRKBootTasks.sys [] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2009-11-22 486280] R1 wbsecdrv;wbsecdrv Protocol Driver; C:\WINDOWS\system32\DRIVERS\wbsecdrv.sys [2005-06-14 17792] R2 atjsgt;atjsgt; C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2007-06-06 165504] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-10 56816] R2 ISWKL;ZoneAlarm Toolbar ISWKL; \??\C:\Programme\CheckPoint\ZAForceField\ISWKL.sys [] R2 linsgt;linsgt; C:\WINDOWS\system32\DRIVERS\linsgt.sys [2007-06-06 16000] R3 AgereSoftModem;Creatix 2.0 AC'97 Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2004-07-22 1268234] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-12-16 3842560] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-11-01 1392128] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-10-28 191936] R3 ULI5261XP;ULi M526X Ethernet NT Driver; C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 28672] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152] R3 W33ND;W89C33 mPCI 802.11 Wireless LAN Adapter Driver; C:\WINDOWS\system32\DRIVERS\W33ND.SYS [2005-07-26 140064] R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792] S3 3xHybrid;3xHybrid service; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-11-18 800512] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] S3 MEMSWEEP2;MEMSWEEP2; \??\C:\WINDOWS\system32\3.tmp [] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 Nokia USB Generic;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2006-10-10 9216] S3 Nokia USB Modem;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2006-10-10 12800] S3 Nokia USB Phone Parent;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2006-10-10 138240] S3 Nokia USB Port;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2006-10-10 12800] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 usb2vcom;USB to Serial Bridge Controller; C:\WINDOWS\System32\Drivers\usb2vcom.sys [2005-09-02 28928] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys [] S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AAV UpdateService;AAV UpdateService; C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-11-01 389120] R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2006-02-09 266338] R2 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2006-02-09 118880] R2 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe [2006-02-09 1073152] R2 EpsonBidirectionalService;EpsonBidirectionalService; C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe [2006-12-19 94208] R2 FreeAgentGoNext Service;Seagate Service; C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe [2009-03-27 165160] R2 IswSvc;ZoneAlarm Toolbar IswSvc; C:\Programme\CheckPoint\ZAForceField\IswSvc.exe [2009-10-14 476528] R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2005-07-24 53248] R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120] R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2006-02-09 167936] R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2009-11-22 2384240] R2 wbsecsvc;wbsecsvc; C:\WINDOWS\system32\wbsecsvc.exe [2005-04-30 245760] R2 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480] R3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2006-11-06 210432] S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-12-04 182768] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- |
|
01.03.2010, 14:49
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete:
C:\WINDOWS\system32\3.tmp
drivers to delete:
MEMSWEEP2
jkxpflaj
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
01.03.2010, 16:01
| #5 |
| | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys Das ist das Logfile vom Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\3.tmp" not found! Deletion of file "C:\WINDOWS\system32\3.tmp" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver "MEMSWEEP2" deleted successfully. Driver "jkxpflaj" deleted successfully. Completed script processing. ******************* Finished! Terminate. Nachdem ich das Logfile vom Avenger erstellt habe, habe ich überprüft ob die Löschung erfolgreich war. Unter C:/WINDOWS/system32/drivers war wieder das file jkxpflaj.sys mit aktuellem Datum vorhanden. Als ich versucht habe die Zeile zu kopieren hat AntiVir gemeldet das eben jener Rootkit gefunden wurde. Ich habe daraufhin die Auswahl in Quarantäne verschieben angeklickt und weg war er. Ich wäre diese "Unding" gern endgültig los, gibt es noch etwas zu beachten? |
|
01.03.2010, 16:35
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys Ich hab mit dem Avenger den Treiber zu diesem Rootkit weggescripted  ich hoffe damit haben wir das in den Griff bekommen. Mach aber bitte noch ein Log mit CF:ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys |
|
01.03.2010, 18:56
| #7 |
| | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys Hallo Arne, hier kommt combofix.txt. ComboFix 10-02-28.04 - **** 01.03.2010 17:56:26.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.895.413 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\CoFi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-1327885431-3977732203-2674795245-1003 c:\recycler\S-1-5-21-2528455266-4072653388-2426915185-1003 c:\recycler\S-1-5-21-302174309-1733991147-942865426-1003 c:\recycler\S-1-5-21-984265878-670251042-755676281-1003 D:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2010-02-01 bis 2010-03-01 )))))))))))))))))))))))))))))) . 2010-02-26 19:37 . 2010-03-01 12:36 -------- d-----w- c:\programme\trend micro 2010-02-26 19:37 . 2010-02-26 19:47 -------- d-----w- C:\rsit 2010-02-26 17:55 . 2010-02-26 17:55 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes 2010-02-26 17:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-26 17:55 . 2010-02-26 17:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-02-26 17:55 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-26 17:55 . 2010-02-26 17:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-02-24 11:59 . 2010-02-24 11:59 -------- d-----w- c:\programme\Seagate 2010-02-24 11:59 . 2010-02-24 11:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Seagate 2010-02-24 11:57 . 2010-02-24 11:57 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Leadertech 2010-02-19 20:11 . 2009-06-18 11:55 18816 ------w- c:\windows\system32\SAVRKBootTasks.sys 2010-02-19 10:54 . 2010-02-19 10:54 -------- d-----w- c:\programme\Sophos 2010-02-14 16:11 . 2010-02-14 16:11 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\CheckPoint 2010-02-14 16:09 . 2010-03-01 17:00 -------- d-----w- c:\windows\Internet Logs 2010-02-13 06:37 . 2010-02-13 06:37 -------- d-----w- c:\windows\system32\wbem\Repository . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-01 16:46 . 2006-05-25 19:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-03-01 14:36 . 2004-08-04 12:00 85594 ----a-w- c:\windows\system32\perfc007.dat 2010-03-01 14:36 . 2004-08-04 12:00 460908 ----a-w- c:\windows\system32\perfh007.dat 2010-03-01 14:33 . 2006-10-06 22:46 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\OpenOffice.org2 2010-03-01 14:32 . 2010-02-15 12:47 1179235 ----a-w- c:\windows\Internet Logs\tvDebug.Zip 2010-03-01 14:32 . 2006-02-07 09:43 -------- d-----w- c:\programme\PestPatrol 2010-02-27 10:02 . 2006-03-08 19:38 6516 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\wklnhst.dat 2010-02-26 17:37 . 2008-08-27 17:57 -------- d-----w- c:\programme\CCleaner 2010-02-24 11:59 . 2006-01-27 20:31 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-02-15 12:47 . 2006-05-25 19:46 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-02-14 16:10 . 2010-02-14 16:10 -------- d-----w- c:\programme\CheckPoint 2010-02-14 16:10 . 2010-02-14 16:10 4212 ---ha-w- c:\windows\system32\zllictbl.dat 2010-02-14 16:10 . 2010-02-14 16:10 -------- d-----w- c:\programme\Zone Labs 2010-01-13 19:32 . 2006-12-28 11:17 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Nokia 2010-01-02 13:32 . 2010-01-02 13:32 116 ----a-w- c:\windows\system32\fjhdyfhsn.bat 2010-01-02 10:17 . 2006-12-28 11:17 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\PC Suite 2010-01-02 09:58 . 2010-01-02 09:58 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Datalayer 2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-21 19:05 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2009-12-17 07:40 . 2006-01-27 18:31 346624 ----a-w- c:\windows\system32\mspaint.exe 2009-12-16 13:42 . 2009-12-25 18:52 872960 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll 2009-12-16 13:42 . 2009-12-25 18:52 43008 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll 2009-12-16 13:42 . 2009-12-25 18:52 340480 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll 2009-12-16 13:41 . 2009-12-25 18:52 346624 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll 2009-12-14 07:08 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-10 06:07 . 2009-12-07 12:20 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-09 10:06 . 2004-08-04 12:00 2191488 ----a-w- c:\windows\system32\ntoskrnl.exe 2009-12-09 10:06 . 2004-08-04 00:50 2068352 ----a-w- c:\windows\system32\ntkrnlpa.exe 2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2006-01-28 08:53 . 2006-01-28 08:53 8 --sh--r- c:\windows\system32\363CCEFC6B.sys 2006-01-28 08:53 . 2006-01-28 08:53 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\progra~1\MESSEN~1\Msmsgs.exe" [2005-08-31 1658592] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-28 68856] "WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2005-12-14 577536] "AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 88361] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "AntivirusRegistration"="c:\programme\CA\Etrust Antivirus\Register.exe" [2005-08-22 258048] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-28 761945] "PestPatrolRegistration"="c:\programme\PestPatrol\Register.exe" [2005-08-22 180224] "PPMemCheck"="c:\progra~1\PESTPA~1\PPMemCheck.exe" [2004-04-02 148480] "CookiePatrol"="c:\progra~1\PESTPA~1\CookiePatrol.exe" [2005-01-10 73728] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "RemoteControl"="c:\programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768] "PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2006-02-09 143360] "InstantOn"="c:\programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-03-25 93640] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-27 180269] "PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-08 222208] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696] "ContentTransferWMDetector.exe"="c:\programme\Sony\Content Transfer\ContentTransferWMDetector.exe" [2008-07-11 423200] "EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-01-12 669520] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2009-11-22 1037192] "ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2009-10-14 730480] "MaxMenuMgr"="c:\programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2009-03-27 181544] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304] c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\ OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips GoGear Spark Gere-Manager.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Philips GoGear Spark Gere-Manager.lnk backup=c:\windows\pss\Philips GoGear Spark Gere-Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\WINDOWS\\system32\\fxsclnt.exe"= "c:\\Programme\\NetMeeting\\Conf.exe"= "c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"= "c:\\Programme\\MEDION\\medionmusic_manager_gold\\MusicManager.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Dokumente und Einstellungen\\****\\Eigene Dateien\\Spiel_DL\\volley.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"= "c:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"= "c:\\Programme\\EpsonNet\\EpsonNet Setup\\tool09\\ENEasyApp.exe"= "c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"= R1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [19.02.2010 21:11 18816] R1 wbsecdrv;wbsecdrv Protocol Driver;c:\windows\system32\drivers\wbsecdrv.sys [27.01.2006 22:46 17792] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.12.2009 13:20 108289] R2 atjsgt;atjsgt;c:\windows\system32\drivers\atjsgt.sys [06.06.2007 19:17 165504] R2 FreeAgentGoNext Service;Seagate Service;c:\programme\Seagate\SeagateManager\Sync\FreeAgentService.exe [27.03.2009 15:54 165160] R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [14.10.2009 14:30 25208] R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [14.10.2009 14:30 476528] R2 linsgt;linsgt;c:\windows\system32\drivers\linsgt.sys [06.06.2007 19:17 16000] R2 wbsecsvc;wbsecsvc;c:\windows\system32\wbsecsvc.exe [27.01.2006 22:46 245760] R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [27.01.2006 22:45 28672] R3 W33ND;W89C33 mPCI 802.11 Wireless LAN Adapter Driver;c:\windows\system32\drivers\W33ND.SYS [27.01.2006 22:46 140064] S2 AAV UpdateService;AAV UpdateService;c:\programme\Gemeinsame Dateien\AAV\aavus.exe [04.10.2007 14:32 122880] S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xhybrid.sys [31.01.2006 13:18 800512] S3 usb2vcom;USB to Serial Bridge Controller;c:\windows\system32\drivers\usb2vcom.sys [26.05.2006 13:41 28928] . Inhalt des "geplante Tasks" Ordners 2010-02-26 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57] 2010-02-23 c:\windows\Tasks\Epson Printer Software Downloader.job - c:\programme\EPSON\EPAPDL\E_SAPDL2.EXE [2009-01-23 13:03] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 Handler: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\Haufe\HaufeReader\HRInstmon.dll FF - ProfilePath - c:\dokumente und einstellungen\Marion Kaiser\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: network.proxy.type - 4 FF - component: c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - component: c:\programme\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerMozillaPlugin.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-PestPatrol Control Center - C-\PROGRA~1\PESTPA~1\PPControl.exe MSConfigStartUp-BearShare - c:\programme\BearShare\BearShare.exe AddRemove-{FAF88B432344413595BB2DED98385684} - c:\programme\DivX\DivXUserGuideUninstall ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-01 18:03 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(936) c:\windows\system32\Ati2evxx.dll c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll - - - - - - - > 'lsass.exe'(992) c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll . Zeit der Fertigstellung: 2010-03-01 18:12:49 ComboFix-quarantined-files.txt 2010-03-01 17:12 Vor Suchlauf: 12 Verzeichnis(se), 52.501.377.024 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 52.492.103.680 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - E207850C7C7F22D3107B97E9DA26C8FC Ich hoffe, beim Deaktivieren aller "Wächter" hat sich nichts Neues eingeschlichen, den ZoneAlarm konnte ich nicht deaktivieren und der hat dann immer mal nachgefragt ob der Zugriff erlaubt werden soll. Haben wir den Rootkit eleminiert? ich bin gespannt auf Deine Antwort. Auf jeden Fall möchte ich mich ganz herzlich für Deine Unterstützung bedanken.  Ein kompetentes Forum, meine Spende ist Euch sicher. Herzliche Grüße |
|
01.03.2010, 21:16
| #8 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sysZitat:
Zitat:
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems. Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern. Zitat:
Zur Kontrolle bitte am besten nochmal neue Logs mit GMER und Malwarebytes machen. Denk dran, Malwarebytes wieder zu aktualisieren, dass muss man manuell vor jedem Durchgang machen.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.03.2010, 22:10
| #9 |
| | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys Hallo Arne, hier der Text aus der bat.Datei, die übrigens wie der Rootkit vom 02.01.10 stammt. @echo off :try @del /F /Q "C:\WINDOWS\system32\svchost.exe" if exist "C:\WINDOWS\system32\svchost.exe" goto try Die Kontrolle mit GMER und Malwarebytes muss ich morgen durchführen.  Danke für den Tipp mit ZoneAlarm. Eine Frage noch, könntet Ihr mir die Bankverbindung des Spendenkontos mailen, ich verfüge nicht über PayPal. Vielen Dank und liebe Grüße |
|
02.03.2010, 18:50
| #10 |
| | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys Hallo Arne, ich möchte dich bitten nochmal die log_files und meine Antwort von gestern anzuschauen, Malwarebytes zeigt 3 Probleme an, oder sind das die Quarantänedateien? GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-03-02 15:38:04 Windows 5.1.2600 Service Pack 3 Running: rlzw7v7g.exe; Driver: C:\DOKUME~1\****~1\LOKALE~1\Temp\kgtdipog.sys ---- System - GMER 1.0.15 ---- SSDT F7AA9FC6 ZwCreateKey SSDT F7AA9FBC ZwCreateThread SSDT F7AA9FCB ZwDeleteKey SSDT F7AA9FD5 ZwDeleteValueKey SSDT F7AA9FDA ZwLoadKey SSDT F7AA9FA8 ZwOpenProcess SSDT F7AA9FAD ZwOpenThread SSDT F7AA9FE4 ZwReplaceKey SSDT F7AA9FDF ZwRestoreKey SSDT F7AA9FD0 ZwSetValueKey SSDT F7AA9FB7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\atjsgt.sys section is writeable [0xEBD79300, 0x220A0, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\linsgt.sys section is writeable [0xEBD3D300, 0x1B7E, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3811 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 02.03.2010 17:43:42 mbam-log-2010-03-02 (17-43-42).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 255452 Laufzeit: 52 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370802.sys (HackTool.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370782.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370791.exe (Trojan.Banker) -> Quarantined and deleted successfully. Ich bin  . |
|
02.03.2010, 20:39
| #11 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sysZitat:
Die drei MBAM-Funde sind alle in SYSTEM VOLUME INFORMATION - Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Nach einem Reboot könntest Du die SWH reaktivieren.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.03.2010, 20:39
| #12 |
| | Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys Hallo Arne, Du hast es geschafft, ich könnte Dich  , sofern man das hier im Forum mitteilen darf.Tolle Arbeit,  , ich bleibe Euch auf jeden Fall treu, hoffentlich nur für News und Tipps und nicht für diese Sch..viren.Tschau |
|
| Themen zu Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys |
| 0xc0000001, anbieter, anti-malware, anweisung, bitte um hilfe, c:\windows, ccleaner, dateien, explorer, failed, folge, found, gesperrt, information, malwarebytes, nicht mehr, not, process, registrierungsschlüssel, rootkit, rootkits, scan, service, system volume information, trojaner, version, _restore |
Linear-Darstellung
