| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.04.2010, 14:36
| #1 |
| |  Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) Hallo liebe Community, ich war heute Morgen sehr überrascht, als sich Firefox nicht mehr öffnete bzw sich sofort wieder schloss mit dem Fenster: 'Firefox Absturz-Melder' wenn ich diese Nachricht an Mozilla übermitteln will, sagt er: 'Beim Senden der Meldung ist ein Problem aufgetreten'. Auch der Internetexplorer öffnet und schließt sofort wieder. Ein erster Scan des kompletten Systems mit AntiVir blieb erfolglos. Ich befinde mich zur Zeit in einer Lehre als Fachinformatiker und wollte mal schaun, ob ich das Rootkit(wenn es denn eins ist) auch selbst entfernen kann. Zurerst kam mir der Gedanke, zu schauen ob sich überhaupt ein schädliches Programm auf meinem PC gefindet. Ich öffnete Wireshark und habe versucht, da etwas draus zu lesen. Dies brachte mehr oder minder einen Erfolg mit sich. Ich wusste nun, dass dort etwas ist, da verbindungen zu mir fremden IP-Adressen aufgebaut wurden (ich habe Screenshots der Adressen, falls man soetwas zurückverfolgen kann). Da AntiVir die CPU zu 10% in Anspruch nahm, dachte ich mir, dass da ja etwas sein muss, was ununterbrochen Aktionen macht, die AntiVir versucht zu überwachen. Der Taskmanager zeigte mir aber nur die üblichen Programme an. Ich habe mir AnVir runter geladen, um alle Programme sehen zu können. Leider ohne Erfolg. Ich lud mir daraufhin ein 'Rootkit-revealer', um evtl auf das Rootkit zu stoßen. Mitten im Scan poppte AntiVir mit einem Virusfund auf. Gefunden wurde 'RKIT/Agent.31232' im Pfad 'C:\System Volume Information\_restore{DD66095-7E .. usw'. Kurz darauf, wurde auch auf meiner 'D:'-Partition etwas gefunden 'D:\System Volume~1\..\A0055627.exe' 'DR/Dldr.Adload.bpb'. In mir bekannten Registry-Autostart-Verzeichnissen, habe ich auch nichts gefunden. Hier mein HJT-Logfile - ich habe es schon auf der HJT-Seite überprüfen lassen - keine Fehler: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:59:18, on 30.04.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Wireshark\wireshark.exe C:\Programme\Wireshark\dumpcap.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 203.158.167.152:8080 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programme\WinPcap\rpcapd.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5713 bytes Der Fehler mit Firefox und dem IE besteht noch immer. Ich hoffe, es gibt eine bessere Lösung, als den PC zu formatieren, da ich mit den Treibern echte Probleme hatte. Ich danke euch schon mal im Voraus und hoffe auf eine baldige Lösung. LG |
|
30.04.2010, 15:05
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) Hallo und
__________________ bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
30.04.2010, 17:21
| #3 |
| | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) Ersteinmal ein großes Danke, dass sich meinem Problem gestellt wird.
__________________malwarebytes-log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 30.04.2010 17:54:42 mbam-log-2010-04-30 (17-54-42).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|) Durchsuchte Objekte: 308602 Laufzeit: 1 Stunde(n), 31 Minute(n), 30 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) OTL-Log: OTL logfile created on: 30.04.2010 17:57:16 - Run 1 OTL by OldTimer - Version 3.2.3.1 Folder = C:\Dokumente und Einstellungen\****\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 555,00 Mb Available Physical Memory | 54,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 58,59 Gb Total Space | 0,53 Gb Free Space | 0,90% Space Free | Partition Type: NTFS Drive D: | 80,68 Gb Total Space | 3,98 Gb Free Space | 4,93% Space Free | Partition Type: NTFS E: Drive not present or media not loaded Drive F: | 9,77 Gb Total Space | 5,30 Gb Free Space | 54,26% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: **** Current User Name: **** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\****\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\AnVir Task Manager Free\AnVir.exe (AnVir Software) PRC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD) PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\****\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Programme\AnVir Task Manager Free\AnvirHook62.dll (AnVir Software) ========== Win32 Services (SafeList) ========== SRV - (UYI) -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\UYI.exe (Sysinternals - www.sysinternals.com) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (rpcapd) Remote Packet Capture Protocol v.0 (experimental) -- C:\Programme\WinPcap\rpcapd.exe (CACE Technologies, Inc.) SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD) SRV - (IJPLMSVC) -- C:\Programme\Canon\IJPLM\ijplmsvc.exe () ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (GarenaPEngine) -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\XFS5.tmp () DRV - (NPF) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies, Inc.) DRV - (MSICPL) -- C:\WINDOWS\system32\msicpl.dll (MSI) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (NVHDA) -- C:\WINDOWS\system32\drivers\nvhda32.sys (NVIDIA Corporation) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (srescan) -- C:\WINDOWS\system32\ZoneLabs\srescan.sys (Check Point Software Technologies LTD) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (AmdPPM) -- C:\WINDOWS\system32\drivers\AmdPPM.sys (Advanced Micro Devices) DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys () DRV - (nvatabus) -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys (NVIDIA Corporation) DRV - (nv_agp) -- C:\WINDOWS\system32\DRIVERS\nv_agp.sys (NVIDIA Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 203.158.167.152:8080 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "about:blank" FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.3 FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3971 FF - prefs.js..network.proxy.backup.ftp: "203.158.167.152" FF - prefs.js..network.proxy.backup.ftp_port: 8080 FF - prefs.js..network.proxy.backup.gopher: "203.158.167.152" FF - prefs.js..network.proxy.backup.gopher_port: 8080 FF - prefs.js..network.proxy.backup.socks: "203.158.167.152" FF - prefs.js..network.proxy.backup.socks_port: 8080 FF - prefs.js..network.proxy.backup.ssl: "203.158.167.152" FF - prefs.js..network.proxy.backup.ssl_port: 8080 FF - prefs.js..network.proxy.ftp: "192.41.135.219" FF - prefs.js..network.proxy.ftp_port: 3127 FF - prefs.js..network.proxy.gopher: "192.41.135.219" FF - prefs.js..network.proxy.gopher_port: 3127 FF - prefs.js..network.proxy.http: "192.41.135.219" FF - prefs.js..network.proxy.http_port: 3127 FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.socks: "192.41.135.219" FF - prefs.js..network.proxy.socks_port: 3127 FF - prefs.js..network.proxy.ssl: "192.41.135.219" FF - prefs.js..network.proxy.ssl_port: 3127 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.05 10:28:23 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.02 13:46:08 | 000,000,000 | ---D | M] [2009.05.12 06:53:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Extensions [2010.04.29 23:08:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\2lx6yps7.default\extensions [2009.06.26 06:41:10 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\2lx6yps7.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.04.27 06:34:08 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\2lx6yps7.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2010.04.30 10:11:59 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.03.14 09:45:53 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.14 09:45:53 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.14 09:45:53 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.03.14 09:45:53 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.14 09:45:53 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll (Google Inc.) O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL File not found O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe File not found O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [AnVir Task Manager Free] C:\Programme\AnVir Task Manager Free\AnVir.exe (AnVir Software) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14) O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\x-sdch {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll (Google Inc.) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.04.12 12:09:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{9a4fb189-2754-11de-9ba1-806d6172696f}\Shell\AutoRun\command - "" = I:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.04.30 16:16:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes [2010.04.30 16:15:44 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.30 16:15:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.04.30 16:15:28 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.04.30 16:15:27 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.04.30 16:14:48 | 006,153,648 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\****\Desktop\mbam-setup.exe [2010.04.30 16:12:44 | 000,562,176 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\OTL.exe [2010.04.30 15:08:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\bilder [2010.04.30 10:11:24 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{5DC53E13-E865-430F-97A7-98ACA32FC3D8} [2010.04.30 10:11:22 | 000,000,000 | ---D | C] -- C:\Programme\iXi Tools [2010.04.30 10:10:57 | 000,000,000 | ---D | C] -- C:\Programme\AnVir Task Manager Free [2010.04.30 10:10:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\AnVir [2010.04.30 09:59:10 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.04.30 09:55:12 | 000,000,000 | ---D | C] -- C:\Neuer Ordner [2010.04.30 09:25:06 | 013,918,208 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\Kopie von nvcpl.dll [2010.04.29 21:57:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\pvpTool_1.4.3_wow-rif [2010.04.24 12:03:57 | 000,000,000 | ---D | C] -- C:\xampp [2010.04.24 11:51:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\rot [2010.04.16 17:05:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\dvdcss [2010.04.12 23:44:01 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe [2010.04.05 21:13:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\GathererDB_Wowhead [2010.04.04 16:03:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\vlc [2010.04.03 17:11:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\wow [2010.04.02 14:29:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Gatherer-3.1.14 [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.04.30 17:49:01 | 000,001,220 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1085031214-606747145-1801674531-1003UA.job [2010.04.30 16:20:37 | 000,350,192 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml [2010.04.30 16:19:35 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.04.30 16:19:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.04.30 16:19:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.04.30 16:19:19 | 1073,074,176 | -HS- | M] () -- C:\hiberfil.sys [2010.04.30 16:15:52 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.04.30 16:14:26 | 006,153,648 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\****\Desktop\mbam-setup.exe [2010.04.30 16:10:58 | 000,562,176 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\OTL.exe [2010.04.30 14:24:15 | 005,242,880 | -H-- | M] () -- C:\Dokumente und Einstellungen\****\NTUSER.DAT [2010.04.30 14:24:15 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\****\ntuser.ini [2010.04.30 10:11:23 | 000,000,968 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Registry Cleaner Pro.lnk [2010.04.30 10:10:58 | 000,000,732 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AnVir Task Manager Free.lnk [2010.04.30 09:59:10 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\HijackThis.lnk [2010.04.30 09:35:29 | 004,240,656 | -H-- | M] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.04.30 09:23:17 | 000,253,748 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2010.04.29 22:49:00 | 000,001,168 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1085031214-606747145-1801674531-1003Core.job [2010.04.29 21:54:24 | 002,272,016 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\pvpTool_1.4.3_wow-rif.rar [2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.04.27 19:04:57 | 007,212,515 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Rihanna - Umbrella ( Techno Remix ).mp4 [2010.04.24 13:51:57 | 000,000,749 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\World of Warcraft.lnk [2010.04.24 11:56:26 | 104,644,152 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\xampp-win32-1.7.3.zip [2010.04.22 21:59:12 | 001,633,072 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\rot.rar [2010.04.21 23:27:22 | 000,016,384 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Microsoft Word-Dokument (neu).doc [2010.04.17 19:36:35 | 000,008,704 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.04.14 13:55:28 | 000,000,742 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Verknüpfung mit graw2.exe.lnk [2010.04.14 09:07:24 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.04.09 22:19:38 | 007,120,536 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\DotA Allstars v6.67c.w3x [2010.04.06 13:45:52 | 000,000,569 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\WOWSTART.INI [2010.04.05 21:09:36 | 000,110,422 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\GathererDB_Wowhead.zip [2010.04.04 01:50:32 | 012,886,845 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Marie_Serneholt_Thats_The_Way_My_Heart_Goes.flv [2010.04.03 21:45:18 | 000,002,147 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Ventrilo.lnk [2010.04.03 17:12:40 | 000,335,362 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\3.jpg [2010.04.03 17:11:50 | 000,342,684 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\2.jpg [2010.04.03 17:10:45 | 000,332,828 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\1.jpg [2010.04.02 16:51:13 | 000,000,715 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\ChangeRealmlist.wtf.bat [2010.04.02 14:28:45 | 000,555,102 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Gatherer-3.1.14.zip [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.04.30 16:15:52 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.04.30 10:11:23 | 000,000,968 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Registry Cleaner Pro.lnk [2010.04.30 10:10:58 | 000,000,732 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AnVir Task Manager Free.lnk [2010.04.30 09:59:10 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\HijackThis.lnk [2010.04.30 09:36:28 | 1073,074,176 | -HS- | C] () -- C:\hiberfil.sys [2010.04.29 21:54:17 | 002,272,016 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\pvpTool_1.4.3_wow-rif.rar [2010.04.27 19:01:42 | 007,212,515 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Rihanna - Umbrella ( Techno Remix ).mp4 [2010.04.24 11:54:00 | 104,644,152 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\xampp-win32-1.7.3.zip [2010.04.22 21:58:54 | 001,633,072 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\rot.rar [2010.04.21 18:21:37 | 000,016,384 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Microsoft Word-Dokument (neu).doc [2010.04.14 13:55:28 | 000,000,742 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Verknüpfung mit graw2.exe.lnk [2010.04.09 22:19:15 | 007,120,536 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\DotA Allstars v6.67c.w3x [2010.04.05 21:09:34 | 000,110,422 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\GathererDB_Wowhead.zip [2010.04.04 01:50:22 | 012,886,845 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Marie_Serneholt_Thats_The_Way_My_Heart_Goes.flv [2010.04.03 20:25:07 | 000,342,684 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\2.jpg [2010.04.03 20:25:07 | 000,335,362 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\3.jpg [2010.04.03 20:25:07 | 000,332,828 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\1.jpg [2010.04.02 14:28:32 | 000,555,102 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Gatherer-3.1.14.zip [2010.03.26 18:30:19 | 000,000,000 | ---- | C] () -- C:\WINDOWS\msicpl.ini [2010.03.18 00:32:10 | 000,015,057 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini [2010.03.18 00:31:56 | 000,014,816 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2010.03.18 00:24:59 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2010.03.18 00:24:42 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2010.03.17 19:59:42 | 000,131,072 | ---- | C] () -- C:\WINDOWS\System32\smdll.dll [2010.03.17 19:58:05 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\Auxiliary.dll [2009.11.08 23:30:28 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2009.10.20 20:19:30 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll [2009.08.22 11:04:14 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll [2009.08.22 11:04:14 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll [2009.08.22 11:04:13 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll [2009.08.22 11:00:49 | 000,000,214 | ---- | C] () -- C:\WINDOWS\SIERRA.INI [2009.08.03 01:21:54 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2009.08.03 01:21:52 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2009.08.03 01:21:52 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [2009.06.15 08:20:54 | 000,355,432 | ---- | C] () -- C:\WINDOWS\System32\vfprintpthelper.dll [2009.06.11 12:51:48 | 000,000,288 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.05.31 10:22:34 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BlendSettings.ini [2009.05.15 07:07:26 | 000,394,240 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll [2009.05.15 06:48:54 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2009.04.24 18:18:38 | 000,721,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2009.04.20 19:10:47 | 000,138,920 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys [2009.04.16 17:36:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [1998.06.10 00:00:00 | 000,015,120 | ---- | C] () -- C:\WINDOWS\System32\REPUTIL.DLL < End of report > |
|
30.04.2010, 17:22
| #4 |
| | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) Gingen nicht beide auf einmal -sry OTL-Extra-Log: OTL Extras logfile created on: 30.04.2010 17:57:16 - Run 1 OTL by OldTimer - Version 3.2.3.1 Folder = C:\Dokumente und Einstellungen\****\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 555,00 Mb Available Physical Memory | 54,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 58,59 Gb Total Space | 0,53 Gb Free Space | 0,90% Space Free | Partition Type: NTFS Drive D: | 80,68 Gb Total Space | 3,98 Gb Free Space | 4,93% Space Free | Partition Type: NTFS E: Drive not present or media not loaded Drive F: | 9,77 Gb Total Space | 5,30 Gb Free Space | 54,26% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: **** Current User Name: **** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet  isabled:@xpsp2res.dll,-22007"2869:TCP" = 2869:TCP:LocalSubNet isabled:@xpsp2res.dll,-22008"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.) "C:\Programme\Steam\steamapps\scud0800\counter-strike source\hl2.exe" = C:\Programme\Steam\steamapps\scud0800\counter-strike source\hl2.exe:* isabled:hl2 -- ()"C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten\Skype\Phone\Skype.exe" = C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Anwendungsdaten\Skype\Phone\Skype.exe:* isabled:Skype -- File not found"D:\Sicherungen\Sicherung I\Quake 3 an 192.168.2.4\quake3.exe" = D:\Sicherungen\Sicherung I\Quake 3 an 192.168.2.4\quake3.exe:*:Enabled:quake3 -- File not found "C:\Programme\Steam\steamapps\stixx_macht_sauber\counter-strike source\hl2.exe" = C:\Programme\Steam\steamapps\stixx_macht_sauber\counter-strike source\hl2.exe:*:Enabled:hl2 -- () "D:\Spiele\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe" = D:\Spiele\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:iw3mp -- File not found "C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe" = C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:iw3mp -- File not found "D:\Spiele\Battlefield Vietnam\Battle Field Vietnam.exe" = D:\Spiele\Battlefield Vietnam\Battle Field Vietnam.exe:* isabled:Battle Field Vietnam -- ()"C:\Programme\Steam\steamapps\stixx_macht_sauber\counter-strike\hl.exe" = C:\Programme\Steam\steamapps\stixx_macht_sauber\counter-strike\hl.exe:*:Enabled:Half-Life Launcher -- (Valve) "C:\Programme\Steam\steamapps\stixx_macht_sauber\condition zero\hl.exe" = C:\Programme\Steam\steamapps\stixx_macht_sauber\condition zero\hl.exe:*:Enabled:Half-Life Launcher -- (Valve) "C:\Programme\Ubisoft\Die Siedler II - Die nächste Generation\bin\S2DNG.exe" = C:\Programme\Ubisoft\Die Siedler II - Die nächste Generation\bin\S2DNG.exe:*:Enabled:S2DNG -- File not found "C:\Programme\Ubisoft\Ghost Recon Advanced Warfighter 2\graw2.exe" = C:\Programme\Ubisoft\Ghost Recon Advanced Warfighter 2\graw2.exe:*:Enabled:Ghost Recon Advanced Warfighter® 2 -- File not found "C:\Programme\Steam\steamapps\common\prototype\prototypef.exe" = C:\Programme\Steam\steamapps\common\prototype\prototypef.exe:*:Enabled:Prototype -- (Activision) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{02CB752D-8747-33E4-AF64-828226CB0171}" = Microsoft Windows SDK for Windows 7 Headers and Libraries (40715) "{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime "{02EBDBB9-4600-41D3-B566-40CB861511D2}" = World of Warcraft FREE Trial "{03ADC8AB-C130-0C3D-1FF9-2C385DF25689}" = CCC Help Czech "{044F9133-B8D7-4d11-BF39-803FA20F5C8B}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32 "{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center "{07021185-008D-ABF9-7716-475AC035F8B3}" = CCC Help Spanish "{0E592C31-09EF-3CA1-A7DE-05D13DFCF791}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu "{0F8D0406-7755-AC37-6529-73AD649DBE32}" = Catalyst Control Center Graphics Previews Common "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP210_series" = Canon MP210 series "{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{22072CC8-7230-96F8-52F4-05EAF3F906B6}" = CCC Help Polish "{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer "{2368ADBD-6FDF-4B9F-FE41-E20B4D78E79E}" = CCC Help Chinese Standard "{2447500B-22D7-47BD-9B13-1A927F43A267}" = Empire Earth "{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0 "{25EF0DC4-B072-2E04-4581-A13C91423CE6}" = CCC Help Portuguese "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 14 "{26F7855C-443B-00A6-F7B8-A97A5403F617}" = CCC Help Danish "{2AE513CF-C0DC-3D92-A092-AD1C68568405}" = Microsoft Windows SDK Intellisense and Reference Assemblies (40715) "{2CB4A925-48A7-DA65-DCEE-D4DE224B7D84}" = CCC Help English "{300A2961-B2B5-4889-9CB9-5C2A570D08AD}" = Debugging Tools for Windows (x86) "{306D75B9-7FFF-FF65-0C76-57F2FE4FE1D6}" = Catalyst Control Center Core Implementation "{32B12FE4-5A51-751A-1FB6-A14E97EBDD5C}" = CCC Help German "{342D4AD7-EC4C-4EC8-AEA6-E70F5905A490}" = SQL Server System CLR Types "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{351512E5-01BD-E878-6F57-AA3E517D9ECE}" = Skins "{354A387E-0374-21A3-6832-335674A6D7D1}" = CCC Help French "{3C00BEE9-26D0-D9E0-A2D1-62F70D412A12}" = CCC Help Turkish "{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 "{4346F7AA-3D56-0941-424C-4454E04D37F6}" = CCC Help Italian "{44D9A2CB-0692-3180-B5E2-26F4E807D067}" = Microsoft Visual C++ Compilers 2008 Standard Edition - enu - x86 "{4CAE2F2C-75CD-A0DE-7520-449BCBBCC833}" = CCC Help Korean "{53AF0BC2-3B54-421A-8810-BB58D94E6450}" = SharpDevelop 3.1 "{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}" = Skype web features "{57F7F0A5-8F22-8E63-E819-803B5C9CA3A5}" = CCC Help Dutch "{5EA437D2-7A57-B60E-E8F2-76BFAC0895A5}" = CCC Help Chinese Traditional "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5 "{61AF4E75-050E-0304-3417-8BC16417FEB1}" = CCC Help Greek "{632005DA-C291-5275-284C-5EE96B05C714}" = Catalyst Control Center HydraVision Full "{6753B40C-0FBD-3BED-8A9D-0ACAC2DCD85D}" = Microsoft Document Explorer 2008 "{6C72BE0C-3E25-CACD-0070-2FD9C02ABA14}" = ccc-core-preinstall "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{738B0934-6676-44F6-AB52-32F4E60DCA7F}" = Microsoft SQL Server Compact 3.5 SP1 Design Tools (Deutsch) "{789289CA-F73A-4A16-A331-54D498CE069F}" = Ventrilo "{7FC7AD70-1DF3-4B84-9AA2-4FB680F45572}_is1" = Hex-Editor MX "{842FAF7C-50EF-4463-9B8F-6222E1384D7D}" = Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries "{880BB617-914E-17E8-D877-A96BAC5794D2}" = Catalyst Control Center Graphics Full New "{8897CF22-DB6C-8248-895C-12BFA2677F51}" = CCC Help Hungarian "{8CB66246-75A7-3829-BD89-F659AC7408CF}" = Microsoft Windows SDK for Windows 7 Common Utilities (40715) "{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding "{8F714418-F3C3-3BF0-B548-E4BDA7AD41DE}" = Microsoft Visual Basic 2008 Express Edition with SP1 - DEU "{9208FFB8-D5C1-3ADE-B898-35F5D7C2F399}" = Microsoft Windows SDK for Windows 7 Samples (40715) "{984E0622-29E5-44EA-A075-A0CE91B2CF13}" = TortoiseOverlays "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch "{AD62165F-29CB-3021-B031-53C47F95A69C}" = Microsoft Windows SDK Net Fx Interop Headers And Libraries (40715) "{AF710FDE-2815-8C8D-5281-8004C2654AA6}" = CCC Help Russian "{AFF2D965-C6F2-A210-FBF7-532612AA1D23}" = CCC Help Swedish "{B21336EE-4AEF-9940-4AC7-EDB89854B8D3}" = CCC Help Thai "{B29E1532-EEAE-3197-A6C6-F87E0D162F4B}" = Microsoft Windows SDK for Windows 7 Utilities for Win32 Development (40715) "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player "{B862B671-59FD-7457-AFA0-C738FB7ABD60}" = Windows SDK Intellidocs "{B924C008-D667-3B26-84C6-BD70285F9BFC}" = Microsoft Windows SDK for Windows 7 (7.0) "{BBA69346-61A1-BD34-E75A-4D81232DB1FE}" = Catalyst Control Center Localization All "{BFD5ED08-F066-92D5-BE67-3B9AE5DCFF0C}" = CCC Help Japanese "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{C4609F15-FB3C-D97E-BAA1-4F10815039C2}" = Catalyst Control Center Graphics Full Existing "{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}" = NVIDIA PhysX "{C6CBFA35-7450-4891-A0DA-8567A56A4191}" = Barbie(R) Fashion Show - An Eye For Style(TM) "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D01FAC3D-86B4-3A19-9D10-9156A0EB3EBE}" = CCC Help Finnish "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1 "{D5A7D7AB-3093-3619-9261-74DB250ECF7B}" = Microsoft Visual C++ 2008 Express Edition with SP1 - DEU "{D5F46ED0-ED35-36B5-9767-E172F56D7D73}" = Microsoft Windows SDK for Windows 7 .NET Documentation (40715) "{D73722C8-3F65-C75B-A631-5D36894DAB92}" = ccc-core-static "{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1 "{DDAD33B6-8C00-428D-087B-A7088355B9BE}" = Catalyst Control Center Graphics Light "{DEEC998E-C314-4199-BF38-9C94B259E4E8}" = Microsoft Press Training Kit Exam Prep Suite 70-620 "{E2333A74-D004-3CBD-9BEC-569AC373F48A}" = Microsoft Windows SDK .NET Framework Tools (40715) "{E333F074-FC7F-596D-3D61-44F0EC28E8C0}" = ccc-utility "{E5B1222C-6D7E-3033-A667-5AFEC02005C0}" = Microsoft Windows SDK for Windows 7 Win32 Documentation (40715) "{E72400F4-A41E-4019-9143-051BE2951C00}" = Application Verifier "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F20D1291-9FB8-46B1-BE46-6282F93C20E8}" = Registry Cleaner Pro "{F5E87B12-3C27-452F-8E78-21D42164FD83}" = Microsoft SQL Server 2008 Management Objects "{FA38F9E4-BED7-E021-B660-8FDFF7EC6E1A}" = CCC Help Norwegian "{FA440BE8-EC2F-4478-A01A-077DA0606501}" = Microsoft SQL Server Compact 3.5 SP1 (Deutsch) "{FF39FC01-819B-42E4-AE49-1968AF12DDD4}" = Dawn of War - Dark Crusade "{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "7-Zip" = 7-Zip 4.65 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software "AnVir Task Manager Free" = AnVir Task Manager Free "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Canon MP210 series Benutzerregistrierung" = Canon MP210 series Benutzerregistrierung "CANONIJPLM100" = PIXMA Extended Survey Program "CanonMyPrinter" = Canon Utilities My Printer "DAEMON Tools Toolbar" = DAEMON Tools Toolbar "Driver Cleaner Pro" = DH Driver Cleaner Professional Edition "EVEREST Home Edition_is1" = EVEREST Home Edition v2.20 "Free YouTube to Mp3 Converter_is1" = Free YouTube to Mp3 Converter version 3.1 "Garena" = Garena "Hamachi" = Hamachi 1.0.3.0 "HijackThis" = HijackThis 2.0.2 "ie8" = Windows Internet Explorer 8 "InstallShield_{C6CBFA35-7450-4891-A0DA-8567A56A4191}" = Barbie Fashion Show - Mode mit Stil-Spiel "L0phtCrack 2.5" = L0phtCrack 2.5 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft Document Explorer 2008" = Microsoft Document Explorer 2008 "Microsoft Visual Basic 2008 Express Edition with SP1 - DEU" = Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU "Microsoft Visual C++ 2008 Express Edition with SP1 - DEU" = Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) "Nmap" = Nmap 4.85BETA7 "Notepad++" = Notepad++ "NVIDIA Drivers" = NVIDIA Drivers "NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager "Registry Cleaner Pro" = Registry Cleaner Pro "S2TNG" = Die Siedler II - Die nächste Generation "SDKSetup_7.0.7600.16385.40715" = Microsoft Windows SDK for Windows 7 (7.0) "Steam App 10" = Counter-Strike "Steam App 10150" = Prototype "Steam App 80" = Condition Zero "SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009) "Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2 "TeamSpeak 3 Client" = TeamSpeak 3 Client "TortoiseHg_is1" = TortoiseHg 0.9.3 "Uninstall_is1" = Uninstall 1.0.0.1 "Visual Basic 6.0 Enterprise Edition (deu)" = Microsoft Visual Basic 6.0 Enterprise Edition (Deutsch) "VLC media player" = VLC media player 1.0.5 "WebPost" = Microsoft Web Publishing Wizard 1.53 "Winamp" = Winamp "Windows Media Format Runtime" = Windows Media Format Runtime "WinPcapInst" = WinPcap 4.1.1 "winpcap-nmap" = winpcap-nmap 4.02 "Wireshark" = Wireshark 1.0.6 "World of Warcraft" = World of Warcraft "XpsEPSC" = XML Paper Specification Shared Components Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 "ZoneAlarm" = ZoneAlarm ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome "Move Networks Player - IE" = Move Networks Media Player for Internet Explorer ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 17.04.2010 02:26:05 | Computer Name = **** | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 24.04.2010 03:07:59 | Computer Name = **** | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 24.04.2010 06:06:43 | Computer Name = **** | Source = MySQL | ID = 100 Description = Error - 24.04.2010 06:06:43 | Computer Name = **** | Source = MySQL | ID = 100 Description = Error - 30.04.2010 03:28:03 | Computer Name = **** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes Modul , Version 0.0.0.0, Fehleradresse 0x00000000. Error - 30.04.2010 03:28:09 | Computer Name = **** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x027a0005. Error - 30.04.2010 03:45:04 | Computer Name = **** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes Modul , Version 0.0.0.0, Fehleradresse 0x00000000. Error - 30.04.2010 03:49:57 | Computer Name = **** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x77bd19ef. Error - 30.04.2010 04:30:17 | Computer Name = **** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x77bd19ef. Error - 30.04.2010 05:43:53 | Computer Name = **** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung UYI.exe, Version 1.71.0.0, fehlgeschlagenes Modul UYI.exe, Version 1.71.0.0, Fehleradresse 0x0004fc8b. [ System Events ] Error - 30.04.2010 03:34:23 | Computer Name = **** | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 30.04.2010 03:35:31 | Computer Name = **** | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 30.04.2010 03:37:28 | Computer Name = **** | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst nvsvc. Error - 30.04.2010 03:47:58 | Computer Name = **** | Source = BROWSER | ID = 8032 Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{D9747FC8-B014-4A2F-91D4-D3A82EAFBF5A}" zu oft fehl. Der Sicherungssuchdienst wird beendet. Error - 30.04.2010 04:16:47 | Computer Name = **** | Source = Service Control Manager | ID = 7034 Description = Dienst "PIXMA Extended Survey Program" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 30.04.2010 04:20:57 | Computer Name = **** | Source = Service Control Manager | ID = 7034 Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 30.04.2010 05:44:10 | Computer Name = **** | Source = Service Control Manager | ID = 7034 Description = Dienst "UYI" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 30.04.2010 08:27:23 | Computer Name = **** | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst nvsvc. Error - 30.04.2010 08:46:29 | Computer Name = **** | Source = BROWSER | ID = 8032 Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{D9747FC8-B014-4A2F-91D4-D3A82EAFBF5A}" zu oft fehl. Der Sicherungssuchdienst wird beendet. Error - 30.04.2010 10:20:22 | Computer Name = **** | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst nvsvc. < End of report > LG |
|
30.04.2010, 17:40
| #5 |
| | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) Also nach dem Löschen der 5 Registrierungseinträge, startet Firefox wieder, IE auch. Ist nun die Frage, ob nur das war... denn das muss ja auch irgendwie gekommen sein. Seitdem keine Virenfunde mehr. Ich würde aber wetten, dass da noch was ist(!) LG |
|
30.04.2010, 18:08
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) Das Log sieht aber ok aus. Wir können ja noch tiefer graben, erstell dazu Logfiles mit GMER und OSAM und poste sie. Zitat:
__________________ --> Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) |
|
30.04.2010, 20:46
| #7 |
| | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) GMER GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-04-30 21:32:02 Windows 5.1.2600 Service Pack 3 Running: kmuqx19f.exe; Driver: C:\DOKUME~1\****\LOKALE~1\Temp\kwkdipog.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwConnectPort [0xF382AFC0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateFile [0xF3827C80] SSDT F7A617D6 ZwCreateKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreatePort [0xF382B580] SSDT F7A617CC ZwCreateThread SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateWaitablePort [0xF382B670] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xF3828210] SSDT F7A617DB ZwDeleteKey SSDT F7A617E5 ZwDeleteValueKey SSDT spkz.sys ZwEnumerateKey [0xF72A4CA4] SSDT spkz.sys ZwEnumerateValueKey [0xF72A5032] SSDT F7A617EA ZwLoadKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xF3842F90] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwOpenFile [0xF3828070] SSDT spkz.sys ZwOpenKey [0xF72860C0] SSDT F7A617B8 ZwOpenProcess SSDT F7A617BD ZwOpenThread SSDT spkz.sys ZwQueryKey [0xF72A510A] SSDT spkz.sys ZwQueryValueKey [0xF72A4F8A] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRenameKey [0xF38436F0] SSDT F7A617F4 ZwReplaceKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRequestWaitReplyPort [0xF382ABE0] SSDT F7A617EF ZwRestoreKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xF3828440] SSDT F7A617E0 ZwSetValueKey INT 0x62 ? 865DDBF8 INT 0x73 ? 86405F00 INT 0x83 ? 865DDBF8 INT 0xB4 ? 86405F00 ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2D58 805045F4 8 Bytes JMP 90F7A617 ? spkz.sys Das System kann die angegebene Datei nicht finden. ! ? srescan.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload F69CB8AC 5 Bytes JMP 864054E0 .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6162360, 0x3E57A5, 0xE8000020] .text ad4yz8fv.SYS F6116386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...] .text ad4yz8fv.SYS F61163AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...] .text ad4yz8fv.SYS F61163C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH} .text ad4yz8fv.SYS F61163C9 1 Byte [30] .text ad4yz8fv.SYS F61163C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL} .text ... ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7287042] spkz.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F728713E] spkz.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F72870C0] spkz.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7287800] spkz.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F72876D6] spkz.sys IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!KeGetCurrentIrql] 9E880000 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!KfRaiseIrql] 00001CA9 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!KfLowerIrql] 0E798366 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!HalGetInterruptVector] 74AAB000 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!HalTranslateBusAddress] 8186C636 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200 IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[WMILIB.SYS!WmiSystemControl] 8800001C IAT \SystemRoot\System32\Drivers\ad4yz8fv.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F382FB20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F382F930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F3830260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F382DE90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F382DE90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F382FB20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F382F930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F3830260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F382FB20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F382DE90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F3830260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F382F930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F3830260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F382F930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F382FB20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F382DE90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F382FB20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F382F930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F3830260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F382FB20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F382DE90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F3830260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F382F930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8656A1F8 Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\sptd \Device\66364692 spkz.sys Device \Driver\usbohci \Device\USBPDO-0 8640F1F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8656C1F8 Device \Driver\dmio \Device\DmControl\DmConfig 8656C1F8 Device \Driver\dmio \Device\DmControl\DmPnP 8656C1F8 Device \Driver\dmio \Device\DmControl\DmInfo 8656C1F8 Device \Driver\usbehci \Device\USBPDO-1 864561F8 Device \Driver\PCI_PNP3442 \Device\00000048 spkz.sys Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\Ftdisk \Device\HarddiskVolume1 865DE1F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 865DE1F8 Device \Driver\Cdrom \Device\CdRom0 861E2500 Device \Driver\atapi \Device\Ide\IdePort0 [F71D9B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F71D9B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 [F71D9B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort2 [F71D9B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort3 [F71D9B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\Ftdisk \Device\HarddiskVolume3 865DE1F8 Device \Driver\Ftdisk \Device\HarddiskVolume4 865DE1F8 Device \Driver\NetBT \Device\NetBt_Wins_Export 8510D1F8 Device \Driver\NetBT \Device\NetbiosSmb 8510D1F8 Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\NetBT \Device\NetBT_Tcpip_{D9747FC8-B014-4A2F-91D4-D3A82EAFBF5A} 8510D1F8 Device \Driver\usbohci \Device\USBFDO-0 8640F1F8 Device \Driver\usbehci \Device\USBFDO-1 864561F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 84F841F8 Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \FileSystem\MRxSmb \Device\LanmanRedirector 84F841F8 Device \Driver\Ftdisk \Device\FtControl 865DE1F8 Device \Driver\ad4yz8fv \Device\Scsi\ad4yz8fv1 863351F8 Device \Driver\ad4yz8fv \Device\Scsi\ad4yz8fv1Port4Path0Target0Lun0 863351F8 Device \FileSystem\Cdfs \Cdfs 84F0F1F8 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE2 0x85 0x20 0x21 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x73 0xDF 0x6E 0x20 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x18 0x4F 0x79 0x5D ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE2 0x85 0x20 0x21 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x73 0xDF 0x6E 0x20 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x18 0x4F 0x79 0x5D ... ---- EOF - GMER 1.0.15 ---- OSAM Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 21:42:02 on 30.04.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.3 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "a3u28n8s" (a3u28n8s) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\a3u28n8s.sys (Hidden registry entry, rootkit activity | File signed by Microsoft) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "GarenaPEngine" (GarenaPEngine) - ? - C:\DOKUME~1\****\LOKALE~1\Temp\XFS5.tmp (File found, but it contains no detailed information) "GMSIPCI" (GMSIPCI) - ? - I:\schule\INSTALL\GMSIPCI.SYS (File not found) "Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MSICPL" (MSICPL) - ? - I:\schule\install4\MSICPL.sys (File not found) "NetGroup Packet Filter Driver" (NPF) - "CACE Technologies, Inc." - C:\WINDOWS\System32\drivers\npf.sys "NTACCESS" (NTACCESS) - ? - I:\schule\NTACCESS.sys (File not found) "nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "SetupNTGLM7X" (SetupNTGLM7X) - ? - I:\schule\NTGLM7X.sys (File not found) "sptd" (sptd) - ? - C:\WINDOWS\System32\Drivers\sptd.sys (File not found) "srescan" (srescan) - "Check Point Software Technologies LTD" - C:\WINDOWS\System32\ZoneLabs\srescan.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "vsdatant" (vsdatant) - "Check Point Software Technologies LTD" - C:\WINDOWS\System32\vsdatant.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {B1759355-3EEC-4C1E-B0F1-B719FE26E377} "Google Dictionary Compression filter" - "Google Inc." - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - ? - C:\Programme\NVIDIA Corporation\nView\nvshell.dll (File not found) {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - ? - C:\Programme\NVIDIA Corporation\nView\nvshell.dll (File not found) {A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - ? - C:\WINDOWS\system32\nvcpl.dll (File not found) {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - ? - C:\WINDOWS\system32\nvcpl.dll (File not found) {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - ? - C:\Programme\NVIDIA Corporation\nView\nvshell.dll (File not found) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll {B456DB9F-7BF4-478c-937A-05130C2C212E} "TortoiseHg" - "TortoiseHg Project" - C:\Programme\TortoiseHg\THgShell.dll {B456DBA0-7BF4-478c-937A-05130C2C212E} "TortoiseHg" - "TortoiseHg Project" - C:\Programme\TortoiseHg\THgShell.dll {B456DBA1-7BF4-478c-937A-05130C2C212E} "TortoiseHg" - "TortoiseHg Project" - C:\Programme\TortoiseHg\THgShell.dll {B456DBA2-7BF4-478c-937A-05130C2C212E} "TortoiseHg" - "TortoiseHg Project" - C:\Programme\TortoiseHg\THgShell.dll {B456DBA6-7BF4-478c-937A-05130C2C212E} "TortoiseHg" - "TortoiseHg Project" - C:\Programme\TortoiseHg\THgShell.dll {C5994560-53D9-4125-87C9-F193FC689CB2} "TortoiseSVN" - "hxxp://tortoisesvn.net" - C:\Programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll {C5994561-53D9-4125-87C9-F193FC689CB2} "TortoiseSVN" - "hxxp://tortoisesvn.net" - C:\Programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll {C5994562-53D9-4125-87C9-F193FC689CB2} "TortoiseSVN" - "hxxp://tortoisesvn.net" - C:\Programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll {C5994563-53D9-4125-87C9-F193FC689CB2} "TortoiseSVN" - "hxxp://tortoisesvn.net" - C:\Programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll {C5994564-53D9-4125-87C9-F193FC689CB2} "TortoiseSVN" - "hxxp://tortoisesvn.net" - C:\Programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll {C5994565-53D9-4125-87C9-F193FC689CB2} "TortoiseSVN" - "hxxp://tortoisesvn.net" - C:\Programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll {C5994566-53D9-4125-87C9-F193FC689CB2} "TortoiseSVN" - "hxxp://tortoisesvn.net" - C:\Programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll {C5994567-53D9-4125-87C9-F193FC689CB2} "TortoiseSVN" - "hxxp://tortoisesvn.net" - C:\Programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll {C5994568-53D9-4125-87C9-F193FC689CB2} "TortoiseSVN" - "hxxp://tortoisesvn.net" - C:\Programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_14" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_14.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} "Java Plug-in 1.6.0_14" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_14.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_14" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_14.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} "Google Dictionary Compression sdch" - "Google Inc." - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "AnVir Task Manager Free" - "AnVir Software" - "C:\Programme\AnVir Task Manager Free\AnVir.exe" Minimized -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "nwiz" - ? - C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install (File not found) "ZoneAlarm Client" - "Check Point Software Technologies LTD" - "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe "PIXMA Extended Survey Program" (IJPLMSVC) - ? - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE "Remote Packet Capture Protocol v.0 (experimental)" (rpcapd) - "CACE Technologies, Inc." - C:\Programme\WinPcap\rpcapd.exe "TrueVector Internet Monitor" (vsmon) - "Check Point Software Technologies LTD" - C:\WINDOWS\system32\ZoneLabs\vsmon.exe "UYI" (UYI) - "Sysinternals - www.sysinternals.com" - C:\DOKUME~1\****\LOKALE~1\Temp\UYI.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru LG |
|
01.05.2010, 13:45
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) Die beiden Logs sehen ok aus. Was ist mit den Proxy-Einträgen?
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
01.05.2010, 13:59
| #9 |
| | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) nee ich hab da nix eingestellt. Heisst das, meine ganzen Daten, die ich übers Netz schicke, bekommt erst jemand anders? 0.o LG |
|
01.05.2010, 14:52
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) Schau mal im Firefox in den Optionen unter Netzwerk bei den Verbindungseinstellungen nach, ob da die Proxies drin sind. Wenn ja, rausnehmen.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.05.2010, 15:00
| #11 |
| | Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) Oops, kann doch sein, dass ich da irgendwann mal was eingestellt habe. War auf jeden Fall nicht eingestellt, dass der nicth über den Proxy geht. Nichts desto trotz müssen diese 5 Einträge, dass Firefox und der IE nicht mehr gestartet haben ja irgendwo her kommen... Du warst mir eine super Hilfe - vielen Dank, ich glaub ich wäre total verzweifelt ohne dich. LG |
|
| Themen zu Rootkit auf meinem PC - Browser öffnet nicht, AntiVir findet nichts(!) |
| alle programme, antivir, antivir guard, anvir, avira, bho, browser, canon, desktop, entfernen, fehler, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, ip-adresse, mozilla, object, plug-in, problem, programm, rkit/agent, rootkit, rundll, scan, senden, software, taskmanager, windows, windows xp |
Linear-Darstellung
