![]() |
|
Plagegeister aller Art und deren Bekämpfung: Antispyware Soft InfektionWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() ![]() | ![]() Antispyware Soft Infektion Hallo! Beim herunterladen einer Musikdatei habe ich offensichtlich einen schlechten Link erwischt und mir dadurch einen Virus/Spyware Installer für Antispyware Soft heruntergeladen ich dachte das wär der Downloader für die Musik und jetzt stehe ich da: Egal welche App ich starten will kommt: "Application cannot be executed. The file xxxxx.xxx (applikationsfile) is infected. Do you want to activate your antivirus software now?" Es kommt dann irgendwann ein Fenster mit "Antispyware Soft Innovative protection for your PC" Das Sicherheitscenter von Windows wird geöffnet. es kommen Meldungen, die sagen, dass 38 Malwareprogramme auf meinem Rechneer wären und ob ich diese beseitigen möchte. Ausserdem werden automatisch Pornoseiten im Internetexplorer gestartet. Ixh habe mit Malwarebytes, das zufällig auf dem Rechner installiert ist im protected mode einen Reinigungsversuch gemacht, der 18 infizierte Objekte fand und beseitigte, dann neu im protected mode gestartet, alles schien OK, eine Malware trace wurde noch aus der Registry entfernt. Nach Normalstart war das Problem aber wieder komplett da! Hier der Malwarebytes Log, den ich glücklicherweise über einen Memorystick aus dem Rechner lotsen konnte... Code:
ATTFilter Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3900 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 04.06.2010 23:41:39 mbam-log-2010-06-04 (23-41-39).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 238290 Laufzeit: 16 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 13 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 1 Infizierte Dateien: 11 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{836222e2-47cf-4fcb-bae1-b3679083edc1} (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\uedijvrc.dll (Adware.EZlife) -> Quarantined and deleted successfully. C:\Temp\ersoacwxmn.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully. c:\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully. c:\Temp\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. c:\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. c:\Temp\0.21977870949342415.exe (Trojan.Dropper) -> Quarantined and deleted successfully. Danke! Winfried |
![]() | #2 |
![]() ![]() | ![]() Antispyware Soft Infektion Also ich habe inzwischen (mehr per Zufall
__________________![]() Nachdem ich aber schon mit Malwarebytes gearbeitet hatte, scheint Rkill im abgesicherten Windows Modus nichts zum Stoppen gefunden zu haben. Das finde ich etwas verdächtig... Allerdings hatte ich die nvapps.xml auf nvapps.xl1 und k77a8.dll auf k77a8.dl1umbenannt, vielleicht wurden sie darum nicht gefunden oder eliminiert... In der Proxyeinstellung habe ich jetzt das Häkchen entfernt. Malwarebytes lässt sich im abgesicherten Modus problemlos starten, findet auch nichts. ASER: in Windows\System32\Drivers hat GMER die Datei kgzdy.sys gefunden, die irgendwie immer aktualisiert wird (sieht man am Datum) wenn man sie im Windows Explorer ansieht ... Also es ist alles noch etwas sehr komisch... Ich poste dann noch die Logs. OTL Code:
ATTFilter OTL logfile created on: 05.06.2010 02:17:18 - Run 1 OTL by OldTimer - Version 3.2.5.3 Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: MFSRV01 Current User Name: Administrator Logged in as Administrator. Current Boot Mode: SafeMode Scan Mode: Current user Company Name Whitelist: On Skip Microsoft Files: On File Age = 90 Days Output = Standard Quick Scan ========== Processes (SafeList) ========== PRC - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (SafeList) ========== MOD - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx ========== Win32 Services (SafeList) ========== SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA) SRV - [2006.06.18 14:56:10 | 000,712,704 | ---- | M] (UltraVNC) [Auto | Stopped] -- C:\Programme\UltraVNC\WinVNC.exe -- (winvnc) SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Stopped] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc) SRV - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE -- (awhost32) ========== Driver Services (SafeList) ========== DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf) DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus) DRV - [2007.05.21 17:04:24 | 000,057,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent) DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock) DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb) DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp) DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor) DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt) DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx) DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi) DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus) DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService) DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom) DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv) DRV - [2002.02.11 10:51:00 | 000,033,496 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST) DRV - [2001.10.09 10:51:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GERNUWA.SYS -- (Gernuwa) DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel) DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg) DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell) DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt) DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase) DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN) DRV - [2000.09.11 10:51:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555 O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M] O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.) O4 - HKLM..\Run: [skb] File not found O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider) O4 - HKLM..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe (UltraVNC) O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe () O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS) O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f Micros-Fidelio - FO Server.lnk = U:\FOSERVER.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i Micros-Fidelio - Interface.lnk = X:\IFCSTART.BAT File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 45681376 O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.) O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation) O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M] O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\AutoRun\command - "" = E:\ -- File not found O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\open\Command - "" = WScript.exe .\autorun.vbs O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - C:\WINDOWS\system32\ias [2007.05.17 15:32:00 | 000,000,000 | ---D | M] NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: SSHNAS - File not found Unable to start service SrService! ========== Files/Folders - Created Within 90 Days ========== [2010.06.05 02:15:29 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe [2010.06.05 01:34:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\k77a8.dll [2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml [2010.06.04 23:45:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent [2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.06.04 22:31:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf [2010.06.04 22:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads [2010.06.04 22:30:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56 [2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp [2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip [2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp [2010.05.15 11:54:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FFOutput [2010.05.15 11:54:26 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll [2010.05.15 11:54:02 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory [2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz [2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Programme\Downloader Qobuz [2010.04.05 01:56:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Musikdownload [2010.04.05 01:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1 [2010.04.05 01:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR [2010.04.05 01:55:13 | 000,000,000 | ---D | C] -- C:\Programme\Linn Download Manager [2010.04.03 18:54:24 | 000,000,000 | ---D | C] -- C:\Programme\FLAC [2010.04.03 18:41:50 | 000,000,000 | ---D | C] -- C:\Programme\Exact Audio Copy ========== Files - Modified Within 90 Days ========== [2010.06.05 02:19:22 | 000,823,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\kgzdy.sys [2010.06.05 02:15:35 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe [2010.06.05 01:24:17 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.06.05 01:23:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.06.05 01:22:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.06.05 01:22:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini [2010.06.05 01:22:19 | 003,250,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.06.05 01:18:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010.06.05 00:19:01 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini [2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1 [2010.06.05 00:17:54 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini [2010.06.05 00:17:51 | 008,405,015 | ---- | M] () -- C:\WINDOWS\hlktmp [2010.06.05 00:17:42 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe [2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1 [2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe [2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls [2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF [2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat [2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp [2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2010.05.15 18:39:51 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk [2010.04.13 23:18:55 | 000,000,515 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f Micros-Fidelio - FO Server.lnk [2010.04.06 23:14:45 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp [2010.04.05 01:55:16 | 000,000,902 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk [2010.04.03 18:54:24 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk [2010.04.03 18:41:51 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk [2010.04.01 08:15:45 | 000,897,954 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.04.01 08:15:45 | 000,391,000 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.04.01 08:15:45 | 000,380,350 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.04.01 08:15:45 | 000,063,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.04.01 08:15:45 | 000,052,764 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.03.22 19:28:12 | 000,000,612 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk ========== Files Created - No Company Name ========== [2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys [2010.06.04 22:30:50 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedyb.exe [2010.06.04 22:30:30 | 000,030,000 | ---- | C] () -- C:\WINDOWS\System32\k77a8.dl1 [2010.06.04 22:15:22 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedya.exe [2010.06.04 22:15:20 | 000,000,250 | -H-- | C] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp [2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat [2010.05.15 18:39:51 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk [2010.04.06 23:14:45 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp [2010.04.05 01:55:16 | 000,000,902 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk [2010.04.03 18:54:24 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk [2010.04.03 18:41:51 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk [2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini [2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini [2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll [2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll ========== LOP Check ========== [2010.06.04 22:31:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56 [2009.05.29 23:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Auslogics [2010.04.05 01:55:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1 [2007.10.19 23:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\cpuid [2010.05.22 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp [2010.05.11 11:11:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz [2010.06.04 23:27:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads [2007.05.22 14:18:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RVS [2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.* > [2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT [2007.05.22 14:42:47 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2004.08.04 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin [2009.09.18 12:42:18 | 000,000,572 | ---- | M] () -- C:\CibRegSvr.log [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS [2007.05.24 11:21:27 | 000,001,710 | ---- | M] () -- C:\DEBUG.LOG [2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\IO.SYS [2007.05.21 15:31:30 | 000,000,452 | ---- | M] () -- C:\mfInst.log [2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS [2004.08.04 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM [2009.03.28 01:35:57 | 000,251,712 | RHS- | M] () -- C:\ntldr [2010.06.05 01:23:45 | 1610,612,736 | -HS- | M] () -- C:\pagefile.sys [2007.05.17 15:57:58 | 000,000,440 | ---- | M] () -- C:\RHDSetup.log < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\System32\config\*.sav > [2007.05.17 17:24:05 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2007.05.17 17:24:05 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2007.05.17 17:24:05 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\system32\drivers\*.sys /90 > [2010.06.05 02:20:20 | 000,823,808 | ---- | M] () -- C:\WINDOWS\system32\drivers\kgzdy.sys < End of report > Code:
ATTFilter OTL Extras logfile created on: 05.06.2010 02:17:18 - Run 1 OTL by OldTimer - Version 3.2.5.3 Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: MFSRV01 Current User Name: Administrator Logged in as Administrator. Current Boot Mode: SafeMode Scan Mode: Current user Company Name Whitelist: On Skip Microsoft Files: On File Age = 90 Days Output = Standard Quick Scan ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusOverride" = 0 "FirewallOverride" = 0 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009 "38293:TCP" = 38293:TCP:*:Enabled:IP PORT 38293 "1521:TCP" = 1521:TCP:*:Enabled:IP PORT 1521 "443:TCP" = 443:TCP:*:Enabled:IP PORT 443 "80:TCP" = 80:TCP:*:Enabled:IP PORT 80 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "1621:TCP" = 1621:TCP:*:Enabled:IP PORT 1621 "5900:TCP" = 5900:TCP:*:Enabled:IP PORT 5900 "4400:TCP" = 4400:TCP:*:Enabled:IP PORT 4400 "2967:TCP" = 2967:TCP:*:Enabled:IP PORT 2967 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\UltraVNC\vncviewer.exe" = C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe -- (UltraVNC) "C:\Programme\UltraVNC\winvnc.exe" = C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe -- (UltraVNC) "C:\Programme\Symantec\pcAnywhere\WINAW32.EXE" = C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program -- (Symantec Corporation) "C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE" = C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service -- (Symantec Corporation) "C:\Programme\Symantec\pcAnywhere\awrem32.exe" = C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service -- (Symantec Corporation) "D:\fidelio\program\Ifc7.exe" = D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd. -- (Micros-Fidelio (Ireland) Ltd.) "C:\programme\HospiX Entry\g4.exe" = C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry -- (MSI Solutions GmbH) "C:\programme\hospix entry\g4servicectrl.exe" = C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer -- (MSI Solutions GmbH) ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Octoshape Streaming Services" = Octoshape Streaming Services ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 01.04.2010 14:33:09 | Computer Name = MFSRV01 | Source = G4Cti | ID = 5 Description = OSI_Hipath3000: Nicht verbunden! Windows-Socket-Fehler: Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht ordnungsgemäß reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat (10060), auf API 'connect' Thread: HospiX Entry - PBX Interface TThreadCtiSteuerung Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 04.06.2010 18:22:33 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 04.06.2010 18:22:34 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . [ System Events ] Error - 04.06.2010 19:53:50 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 04.06.2010 19:55:37 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 04.06.2010 20:11:13 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 04.06.2010 20:12:01 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 04.06.2010 20:12:43 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 04.06.2010 20:12:55 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 04.06.2010 20:15:14 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 04.06.2010 20:15:32 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = SRService | ID = 104 Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen. Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler beendet: %%2 < End of report > GMER: GMER Logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-06-05 02:49:39 Windows 5.1.2600 Service Pack 3 Running: defxt86v.exe; Driver: c:\Temp\pwrdypob.sys ---- Kernel code sections - GMER 1.0.15 ---- .pak2 C:\WINDOWS\system32\drivers\kgzdy.sys entry point in ".pak2" section [0xF73B74E0] ? C:\WINDOWS\system32\drivers\kgzdy.sys Ein an das System angeschlossenes Gerät funktioniert nicht. PAGE Ntfs.sys F7193E55 4 Bytes CALL 865D4159 ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 006E000A .text C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 006F000A .text C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 006D000C .text C:\WINDOWS\system32\svchost.exe[612] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 0068000A .text C:\WINDOWS\system32\svchost.exe[612] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 0132000A .text C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B8000A .text C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BE000A .text C:\WINDOWS\explorer.exe[1340] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B7000C ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 86506EC8 Device \Driver\aksusb \Device\00000058 AKSCLASS.SYS (Aladdin Class Driver/Aladdin Knowledge Systems Ltd.) ---- Services - GMER 1.0.15 ---- Service (*** hidden *** ) [BOOT] kgzdy <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Start 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Group Boot Bus Extender Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@Type 1 Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@Start 0 Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@Group Boot Bus Extender ---- EOF - GMER 1.0.15 ----] Gruss, Winfried Geändert von wgh52 (05.06.2010 um 03:34 Uhr) |
![]() | #3 |
![]() ![]() | ![]() Antispyware Soft Infektion Hier noch die RSIT Logs
__________________RSIT Logfile: RSIT Logfile: Code:
ATTFilter Logfile of random's system information tool 1.07 (written by random/random) Run by Administrator at 2010-06-05 04:36:44 Microsoft Windows XP Professional Service Pack 3 System drive C: has 23 GB (76%) free of 30 GB Total RAM: 1022 MB (74% free) HijackThis download failed ======Scheduled tasks folder====== C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}] C:\WINDOWS\system32\k77a8.dll - C:\WINDOWS\system32\k77a8.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-05-28 278128] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "WinVNC"=C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952] "RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-28 16248320] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-08-11 86016] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848] "Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632] "REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248] "skb"=rundll32 uedijvrc.dll,,Run [] "xaknoleo"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "Octoshape Streaming Services"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe [2008-05-22 156944] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2009-12-18 40368] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe] C:\cleansweep.exe\cleansweep.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3eu] C:\Temp\fn4yj.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy] C:\Temp\debug.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3] c:\Temp\Pql.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin] c:\Temp\lxqg3foj.dll, RestoreWindows [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart f Micros-Fidelio - FO Server.lnk - U:\FOSERVER.exe i Micros-Fidelio - Interface.lnk - X:\IFCSTART.BAT NDAS Device Management.lnk - C:\Programme\NDAS\System\ndasmgmt.exe C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify] C:\WINDOWS\system32\PCANotify.dll [2002-02-15 24638] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler] har98fefiesjfs93s8i9sejsdf - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 "NoDrives"=45681376 "NoFolderOptions"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\UltraVNC\vncviewer.exe"="C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe" "C:\Programme\UltraVNC\winvnc.exe"="C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe" "C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"="C:\WINDOWS\SYSTEM32\WUAUCLT.EXE:*:Enabled:C:\WINDOWS\SYSTEM32\WUAUCLT.EXE" "C:\Programme\Symantec\pcAnywhere\WINAW32.EXE"="C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program" "C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE"="C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service" "C:\Programme\Symantec\pcAnywhere\awrem32.exe"="C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service" "D:\fidelio\program\Ifc7.exe"="D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd." "C:\programme\HospiX Entry\g4.exe"="C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry" "C:\programme\hospix entry\g4servicectrl.exe"="C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d891d302-d557-11de-a98e-0019990564f0}] shell\AutoRun\command - E:\ shell\open\command - WScript.exe .\autorun.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}] shell\AutoRun\command - lgrncie.bat shell\explore\command - lgrncie.bat shell\open\command - lgrncie.bat ======List of files/folders created in the last 1 months====== 2010-06-05 04:36:51 ----D---- C:\Programme\trend micro 2010-06-05 04:36:44 ----D---- C:\rsit 2010-06-05 01:34:17 ----D---- C:\WINDOWS\system32\k77a8.dll 2010-06-05 01:29:31 ----D---- C:\WINDOWS\system32\nvapps.xml 2010-06-05 00:17:34 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-06-04 23:54:52 ----A---- C:\WINDOWS\ntbtlog.txt 2010-06-04 22:31:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads 2010-06-04 22:30:50 ----A---- C:\WINDOWS\Pjedyb.exe 2010-06-04 22:30:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56 2010-06-04 22:15:22 ----A---- C:\WINDOWS\Pjedya.exe 2010-05-26 23:44:53 ----HDC---- C:\WINDOWS\$NtUninstallKB981793$ 2010-05-22 22:24:32 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp 2010-05-22 22:22:50 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip 2010-05-22 22:22:49 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe 2010-05-22 22:22:47 ----D---- C:\Programme\dBpoweramp 2010-05-15 11:54:26 ----A---- C:\WINDOWS\system32\pncrt.dll 2010-05-15 11:54:02 ----D---- C:\Programme\FormatFactory 2010-05-13 03:00:23 ----HDC---- C:\WINDOWS\$NtUninstallKB978542$ 2010-05-11 10:43:44 ----D---- C:\Programme\Downloader Qobuz 2010-05-11 10:43:44 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz ======List of files/folders modified in the last 1 months====== 2010-06-05 04:36:51 ----RD---- C:\Programme 2010-06-05 04:34:03 ----D---- C:\Temp 2010-06-05 02:13:53 ----D---- C:\WINDOWS\system32 2010-06-05 02:13:53 ----D---- C:\WINDOWS 2010-06-05 01:53:36 ----HD---- C:\WINDOWS\inf 2010-06-05 01:53:35 ----D---- C:\WINDOWS\system32\CatRoot2 2010-06-05 00:19:01 ----A---- C:\WINDOWS\ais.ini 2010-06-05 00:18:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2 2010-06-05 00:17:54 ----A---- C:\WINDOWS\BrmfBidi.ini 2010-06-04 23:43:57 ----HDC---- C:\WINDOWS\$NtUninstallKB920213$ 2010-06-04 23:43:57 ----D---- C:\WINDOWS\system32\drivers 2010-06-04 23:05:51 ----SD---- C:\WINDOWS\Tasks 2010-06-04 22:31:06 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-06-03 01:04:30 ----D---- C:\WINDOWS\Prefetch 2010-05-28 09:37:18 ----SHD---- C:\WINDOWS\Installer 2010-05-13 21:59:04 ----D---- C:\WINDOWS\Debug 2010-05-13 03:00:25 ----D---- C:\Programme\Outlook Express 2010-05-12 09:08:46 ----HD---- C:\WINDOWS\$hf_mig$ 2010-05-09 00:35:41 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AW_HOST;AW_HOST; C:\WINDOWS\system32\drivers\aw_host5.sys [2002-02-11 33496] R3 akshasp;Aladdin HASP Key; C:\WINDOWS\system32\DRIVERS\akshasp.sys [2006-11-22 327168] R3 aksusb;Aladdin USB Key; C:\WINDOWS\system32\DRIVERS\aksusb.sys [2006-11-22 100096] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288] R3 ndasbus;NDAS Bus Driver; C:\WINDOWS\system32\DRIVERS\ndasbus.sys [2005-03-31 39168] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] S1 awlegacy;awlegacy; C:\WINDOWS\System32\Drivers\awlegacy.sys [2000-09-11 10816] S1 lfsfilt;Lean File Sharing; \??\C:\WINDOWS\system32\DRIVERS\lfsfilt.sys [] S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] S2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys [] S2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016] S3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568] S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2006-05-10 156160] S3 brfilt;Brother MFC-Filtertreiber; C:\WINDOWS\System32\Drivers\Brfilt.sys [2001-08-17 2944] S3 brparimg;Brother Multifunktions-parallel-Image-Treiber; C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 3168] S3 BrParWdm;Brother WDM-Treiber (parallel); C:\WINDOWS\System32\Drivers\BrParwdm.sys [2001-08-18 39808] S3 BrSerWDM;Brother WDM-Treiber (seriell); C:\WINDOWS\System32\Drivers\BrSerWdm.sys [2001-08-17 60416] S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416] S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920] S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384] S3 mf;mf; C:\WINDOWS\system32\DRIVERS\mf.sys [2008-04-13 63744] S3 ndasscsi;NDAS SCSI Miniport Driver; C:\WINDOWS\system32\DRIVERS\ndasscsi.sys [2005-03-31 91392] S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496] S3 SymEvent;SymEvent; \??\C:\Programme\Symantec\SYMEVENT.SYS [] S3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736] S4 ACPI;ACPI; C:\WINDOWS\system32\drivers\ACPI.sys [] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== S2 awhost32;pcAnywhere Host Service; C:\Programme\Symantec\pcAnywhere\awhost32.exe [2002-02-15 114749] S2 G4AAA;HospiX Entry - AAA Service; C:\programme\hospix entry\g4.exe [2008-05-30 8540160] S2 G4Cti;HospiX Entry - PBX Interface; C:\programme\hospix entry\g4.exe [2008-05-30 8540160] S2 G4DataImport;HospiX Entry - Call data import; C:\programme\hospix entry\g4.exe [2008-05-30 8540160] S2 G4FOC;HospiX Entry - PMS Connector; C:\programme\hospix entry\g4.exe [2008-05-30 8540160] S2 G4ServiceControl;HospiX Entry - Service Controller; C:\programme\hospix entry\g4.exe [2008-05-30 8540160] S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-05 135664] S2 ndassvc;NDAS Service; C:\Programme\NDAS\System\ndassvc.exe [2005-03-31 377856] S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715] S2 winvnc;VNC Server; C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704] S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768] S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768] -----------------EOF----------------- --- --- --- Info.txt [code]info.txtRSIT Logfile:RSIT Logfile: Code:
ATTFilter logfile of random's system information tool 1.06 2010-06-05 04:36:55 ======Uninstall list====== ======System event log====== Computer Name: MFSRV01 Event Code: 51 Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D. Record Number: 7374 Source Name: Disk Time Written: 20100505113506.000000+120 Event Type: Warnung User: Computer Name: MFSRV01 Event Code: 51 Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D. Record Number: 7373 Source Name: Disk Time Written: 20100505113506.000000+120 Event Type: Warnung User: Computer Name: MFSRV01 Event Code: 51 Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D. Record Number: 7372 Source Name: Disk Time Written: 20100505113506.000000+120 Event Type: Warnung User: Computer Name: MFSRV01 Event Code: 51 Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D. Record Number: 7371 Source Name: Disk Time Written: 20100505113506.000000+120 Event Type: Warnung User: Computer Name: MFSRV01 Event Code: 26 Message: Anwendungspopup: Windows - Datenverlust beim Schreiben: Es konnten nicht alle Daten für die Datei P:\ gespeichert werden. Die Daten gingen verloren. Mögliche Ursache könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Dateien woanders zu speichern. Record Number: 7370 Source Name: Application Popup Time Written: 20100505113504.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: MFSRV01 Event Code: 4 Message: Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/02FAF3E291435468607857694DF5E45B68851868.crt>. Record Number: 2647 Source Name: crypt32 Time Written: 20091006114356.000000+120 Event Type: Informationen User: Computer Name: MFSRV01 Event Code: 2 Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-CAB-Datei wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Record Number: 2646 Source Name: crypt32 Time Written: 20091006114355.000000+120 Event Type: Informationen User: Computer Name: MFSRV01 Event Code: 7 Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>. Record Number: 2645 Source Name: crypt32 Time Written: 20091006114355.000000+120 Event Type: Informationen User: Computer Name: MFSRV01 Event Code: 0 Message: Record Number: 2644 Source Name: gusvc Time Written: 20091006110834.000000+120 Event Type: Informationen User: Computer Name: MFSRV01 Event Code: 0 Message: Record Number: 2643 Source Name: gusvc Time Written: 20091006110734.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "NUMBER_OF_PROCESSORS"=1 "OS"=Windows_NT "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Symantec\pcAnywhere\;C:\Programme\CIB pdf brewer "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel "PROCESSOR_LEVEL"=6 "PROCESSOR_REVISION"=0f02 "TEMP"=c:\Temp "TMP"=c:\Temp "windir"=%SystemRoot% "SAFEBOOT_OPTION"=MINIMAL -----------------EOF----------------- --- --- --- Ich hoffe Ihr könnt mir helfen. Ich probiere jetzt nochmal ein normalen Boot. Au Mann! Winfried |
![]() | #4 |
![]() ![]() | ![]() Antispyware Soft Infektion Also ich verzweifle gerade, die ganze stundenlange Aktion hat nichts gebracht... Nach Neustart alles wieder beim alten: ich kann kein Programm starten, immer die bekannte Meldung. Also wieder abgesicherter Modus und nochmal Rkill.com gestartet, das findet aber keine zu stoppenden Prozesse ausser sich selbst... Dann nochmal Malwarebytes (nach update mit neuesten Daten) gestartet, findet jetzt was, läuft aber noch eine Weile. Was für eine schlaflose Nacht wegen diesem Mist (ja, habe ich mir ja selbst zuzuschreiben, weiss schon ![]() Bis später, ich poste dann noch den Malwarebytes Scan. Gruss, Winfried |
![]() | #5 |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Antispyware Soft Infektion![]() Es ist mitten in der Nacht, also etwas geduld ![]() Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1
Code:
ATTFilter :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= O4 - HKLM..\Run: [skb] File not found O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe () O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M] O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M] O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat [2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe [2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1 [2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe [2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys :services :files C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf C:\cleansweep.exe C:\Temp\fn4yj.exe C:\Temp\debug.exe c:\Temp\Pql.exe c:\Temp\lxqg3foj.dll :reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo] :Commands [purity] [emptytemp] [reboot]
Schritt 2 Berichte ob Du wieder in den Normalen Modus starten kannst.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
![]() | #6 |
![]() ![]() | ![]() Antispyware Soft Infektion Hallo Daniel, ungeduld Euch Helfern gegenüber wäre ja ganz unangebracht! Vielen Dank, dass Du zu dieser Zeit schon nach uns unglücklichen schaust! Also ich habe Malwarebytes zuende laufen lasen, hier ist der Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 05.06.2010 06:06:28 mbam-log-2010-06-05 (06-06-28).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 244914 Laufzeit: 55 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken. HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken. HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Gruss, bis bald, Winfried |
![]() |