| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
18.08.2010, 11:15
| #1 |
 |  TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Hallo! Avira hat vor etwa 10 Tagen das erste Mal den obengenannten Virus (neben einigen anderen) auf meinem PC gefunden und in Quarantäne verschoben, seither taucht er aber laufend wieder in C:\WINDOWS\system32\drivers\gyhmiej.sys auf und trotz ausführlichem Googeln weiß ich als absoluter Computer-Laie nicht, wie ich ihn wieder loswerden kann. Der heutige Avira Scan (Update 18.8.2010) hat wieder Folgendes ergeben: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 18. August 2010 09:44 Es wird nach 2724817 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : *** Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 11:57:22 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:05:58 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:39:53 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:19:34 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:19:42 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:14:45 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 09:23:16 VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 09:23:17 VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 09:23:17 VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 09:23:17 VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 09:23:17 VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 09:23:18 VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 14:58:49 VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 14:58:33 VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 14:59:25 VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 15:00:24 VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 14:59:33 VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 12:16:54 VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 12:16:56 VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 12:16:57 VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 19:51:03 VBASE022.VDF : 7.10.10.191 2048 Bytes 16.08.2010 19:51:03 VBASE023.VDF : 7.10.10.192 2048 Bytes 16.08.2010 19:51:03 VBASE024.VDF : 7.10.10.193 2048 Bytes 16.08.2010 19:51:03 VBASE025.VDF : 7.10.10.194 2048 Bytes 16.08.2010 19:51:03 VBASE026.VDF : 7.10.10.195 2048 Bytes 16.08.2010 19:51:03 VBASE027.VDF : 7.10.10.196 2048 Bytes 16.08.2010 19:51:04 VBASE028.VDF : 7.10.10.197 2048 Bytes 16.08.2010 19:51:04 VBASE029.VDF : 7.10.10.198 2048 Bytes 16.08.2010 19:51:04 VBASE030.VDF : 7.10.10.199 2048 Bytes 16.08.2010 19:51:04 VBASE031.VDF : 7.10.10.206 55808 Bytes 17.08.2010 19:51:05 Engineversion : 8.2.4.34 AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 14:58:54 AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 30.07.2010 14:58:54 AESCN.DLL : 8.1.6.1 127347 Bytes 17.05.2010 20:26:22 AESBX.DLL : 8.1.3.1 254324 Bytes 11.05.2010 09:19:58 AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 07:17:22 AEPACK.DLL : 8.2.3.5 471412 Bytes 06.08.2010 21:52:48 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 09:20:39 AEHEUR.DLL : 8.1.2.11 2834805 Bytes 06.08.2010 21:52:47 AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 07:13:14 AEGEN.DLL : 8.1.3.19 393587 Bytes 06.08.2010 21:52:42 AEEMU.DLL : 8.1.2.0 393588 Bytes 11.05.2010 09:19:50 AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 07:13:04 AEBB.DLL : 8.1.1.0 53618 Bytes 11.05.2010 09:19:49 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59 AVREP.DLL : 8.0.0.7 159784 Bytes 11.05.2010 09:19:59 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 18. August 2010 09:44 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gyhmiej\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gyhmiej\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gyhmiej\errorcontrol [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gyhmiej\group [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gyhmiej\l3tja0jp3 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gyhmiej\nobr5a7w3 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gyhmiej\s5bol0c4 [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '45507' Objekte überprüft, '7' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CMUpdater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UIMain.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UIExec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'epm-dm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EOUWiz.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AssistantServices.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '49' Prozesse mit '49' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '66' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AEECJW9O\GraboidVideoSetup-1.73h-complete[1].exe [0] Archivtyp: NSIS --> ProgramFilesDir/vlc-1.0.1-win32.exe [1] Archivtyp: NSIS --> ProgramFilesDir/vlc.exe.manifest [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. --> ProgramFilesDir/GraboidClient.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AEECJW9O\GraboidVideoSetup-1.8b-complete[1].exe [0] Archivtyp: NSIS --> ProgramFilesDir/GraboidClient.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\WINDOWS\system32\drivers\gyhmiej.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [WARNUNG] Die Datei konnte nicht geöffnet werden! [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd39d82.qua' verschoben! Ende des Suchlaufs: Mittwoch, 18. August 2010 10:45 Benötigte Zeit: 1:00:36 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 4212 Verzeichnisse wurden überprüft 237863 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 237859 Dateien ohne Befall 1041 Archive wurden durchsucht 8 Warnungen 3 Hinweise 45507 Objekte wurden beim Rootkitscan durchsucht 7 Versteckte Objekte wurden gefunden Danach habe ich auch noch meine externe Festplatte mit Avira gescannt, auch dort hat Avira offensichtlich Trojaner gefunden - ich musste den Scan aber bei 99% abbrechen weil sich der PC augehängt hat: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 18. August 2010 10:47 Es wird nach 2724817 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : *** Computername : *** Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 11:57:22 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:05:58 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:39:53 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:19:34 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:19:42 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:14:45 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 09:23:16 VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 09:23:17 VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 09:23:17 VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 09:23:17 VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 09:23:17 VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 09:23:18 VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 14:58:49 VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 14:58:33 VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 14:59:25 VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 15:00:24 VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 14:59:33 VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 12:16:54 VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 12:16:56 VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 12:16:57 VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 19:51:03 VBASE022.VDF : 7.10.10.191 2048 Bytes 16.08.2010 19:51:03 VBASE023.VDF : 7.10.10.192 2048 Bytes 16.08.2010 19:51:03 VBASE024.VDF : 7.10.10.193 2048 Bytes 16.08.2010 19:51:03 VBASE025.VDF : 7.10.10.194 2048 Bytes 16.08.2010 19:51:03 VBASE026.VDF : 7.10.10.195 2048 Bytes 16.08.2010 19:51:03 VBASE027.VDF : 7.10.10.196 2048 Bytes 16.08.2010 19:51:04 VBASE028.VDF : 7.10.10.197 2048 Bytes 16.08.2010 19:51:04 VBASE029.VDF : 7.10.10.198 2048 Bytes 16.08.2010 19:51:04 VBASE030.VDF : 7.10.10.199 2048 Bytes 16.08.2010 19:51:04 VBASE031.VDF : 7.10.10.206 55808 Bytes 17.08.2010 19:51:05 Engineversion : 8.2.4.34 AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 14:58:54 AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 30.07.2010 14:58:54 AESCN.DLL : 8.1.6.1 127347 Bytes 17.05.2010 20:26:22 AESBX.DLL : 8.1.3.1 254324 Bytes 11.05.2010 09:19:58 AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 07:17:22 AEPACK.DLL : 8.2.3.5 471412 Bytes 06.08.2010 21:52:48 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 09:20:39 AEHEUR.DLL : 8.1.2.11 2834805 Bytes 06.08.2010 21:52:47 AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 07:13:14 AEGEN.DLL : 8.1.3.19 393587 Bytes 06.08.2010 21:52:42 AEEMU.DLL : 8.1.2.0 393588 Bytes 11.05.2010 09:19:50 AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 07:13:04 AEBB.DLL : 8.1.1.0 53618 Bytes 11.05.2010 09:19:49 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59 AVREP.DLL : 8.0.0.7 159784 Bytes 11.05.2010 09:19:59 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: ShlExt Konfigurationsdatei...................: C:\DOKUME~1\***\LOKALE~1\Temp\13899da1.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: F:, Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 18. August 2010 10:47 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'F:\' <FREECOM HDD> F:\System Volume Information\_restore{293DD5DA-0EEC-4DB6-BEDA-CB57E4DADA56}\RP46\A0030058.inf [FUND] Ist das Trojanische Pferd TR/Autorun.AJH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ba00c.qua' verschoben! F:\System Volume Information\_restore{293DD5DA-0EEC-4DB6-BEDA-CB57E4DADA56}\RP46\A0030082.inf [FUND] Ist das Trojanische Pferd TR/Autorun.AJH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ba00f.qua' verschoben! F:\System Volume Information\_restore{293DD5DA-0EEC-4DB6-BEDA-CB57E4DADA56}\RP46\A0030103.inf [FUND] Ist das Trojanische Pferd TR/Autorun.AJH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ba012.qua' verschoben! F:\System Volume Information\_restore{293DD5DA-0EEC-4DB6-BEDA-CB57E4DADA56}\RP46\A0031116.inf [FUND] Ist das Trojanische Pferd TR/Autorun.AJH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ba014.qua' verschoben! F:\System Volume Information\_restore{293DD5DA-0EEC-4DB6-BEDA-CB57E4DADA56}\RP48\A0035213.inf [FUND] Ist das Trojanische Pferd TR/Autorun.AJH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ba017.qua' verschoben! F:\System Volume Information\_restore{293DD5DA-0EEC-4DB6-BEDA-CB57E4DADA56}\RP48\A0036209.inf [FUND] Ist das Trojanische Pferd TR/Autorun.AJH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ba019.qua' verschoben! F:\System Volume Information\_restore{DF204B26-CFD7-4692-8315-3608C55344A9}\RP175\A0081016.inf [FUND] Ist das Trojanische Pferd TR/AutorunINF.184 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ba01c.qua' verschoben! Ende des Suchlaufs: Mittwoch, 18. August 2010 11:11 Benötigte Zeit: 23:39 Minute(n) Der Suchlauf wurde abgebrochen! 874 Verzeichnisse wurden überprüft 14807 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 7 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 14800 Dateien ohne Befall 126 Archive wurden durchsucht 0 Warnungen 7 Hinweise Den Cleaner hab ich auch wie empfohlen drüberlaufen lassen. Der MalwareByte-QuickScan ergab offensichtlich nichts: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4442 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.08.2010 11:26:08 mbam-log-2010-08-18 (11-26-08).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 129116 Laufzeit: 10 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Scan der externen Festplatte: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4444 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.08.2010 11:57:44 mbam-log-2010-08-18 (11-57-44).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 14117 Laufzeit: 2 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Der OTL-Scan brachte folgendes Ergebnis:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 18.08.2010 12:04:23 - Run 1
OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
1.014,00 Mb Total Physical Memory | 295,00 Mb Available Physical Memory | 29,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 73,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,88 Gb Total Space | 37,06 Gb Free Space | 66,31% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 232,83 Gb Total Space | 93,88 Gb Free Space | 40,32% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: LISA
Current User Name: ***
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Digital Photo Professional] -- C:\Programme\Canon\Digital Photo Professional\DPPViewer.exe /path "%1" (CANON INC.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{58E5844B-7CE2-413D-83D1-99294BF6C74F}" = Acer ePowerManagement
"{74E2CD0C-D4A2-11D3-95A6-0000E86CFDE5}" = SSH Secure Shell
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}" = mDriver
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9E5EDA7-2E6C-49E7-924B-A32B89C24A04}" = Ge org Internet Manager
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{B502B428-3386-40A9-98DB-079AAB72E64F}" = mEoU
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"6F8C52CF07BBF1FE2471DC68C08F06D7C58B7D49" = Windows Driver Package - Intel (w29n51) net (09/12/2005 9.0.3.9)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CAL" = Canon Camera Access Library
"CameraWindowDVC5" = Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CCleaner" = CCleaner
"Creative VF0070" = Creative WebCam Notebook Ultra Driver (1.00.05.0127)
"Creative WebCam Center" = Creative WebCam Center
"Creative WebCam Notebook Ultra User's Guide English" = Creative WebCam Notebook Ultra User's Guide (English)
"CSCLIB" = Canon Camera Support Core Library
"DPP" = Canon Utilities Digital Photo Professional 3.6
"EOS Utility" = Canon Utilities EOS Utility
"Foxit Reader" = Foxit Reader
"Get Yahoo! Messenger" = Get Yahoo! Messenger
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MyCamera" = Canon Utilities MyCamera
"Original Data Security Tools" = Canon Utilities Original Data Security Tools
"Pdf995" = Pdf995
"PdfEdit995" = PdfEdit995
"PhotoStitch" = Canon Utilities PhotoStitch
"Picture Style Editor" = Canon Utilities Picture Style Editor
"ProInst" = Intel(R) PROSet/Wireless Software
"RealPlayer 12.0" = RealPlayer
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"Signature995" = Signature995
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VLC media player" = VLC media player 1.0.1
"WFTK" = Canon Utilities WFT-E1/E2/E3/E4 Utility
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 14.07.2010 11:21:47 | Computer Name = LISA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 15.07.2010 03:55:06 | Computer Name = LISA | Source = Google Update | ID = 20
Description =
Error - 16.07.2010 11:04:33 | Computer Name = LISA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 17.07.2010 10:55:07 | Computer Name = LISA | Source = Google Update | ID = 20
Description =
Error - 17.07.2010 11:55:05 | Computer Name = LISA | Source = Google Update | ID = 20
Description =
Error - 17.07.2010 12:55:05 | Computer Name = LISA | Source = Google Update | ID = 20
Description =
Error - 17.07.2010 13:55:05 | Computer Name = LISA | Source = Google Update | ID = 20
Description =
Error - 19.07.2010 09:51:35 | Computer Name = LISA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung rundll32.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul hotplug.dll, Version 5.1.2600.5512, Fehleradresse 0x00006901.
Error - 19.07.2010 09:51:41 | Computer Name = LISA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
Error - 19.07.2010 13:55:05 | Computer Name = LISA | Source = Google Update | ID = 20
Description =
[ System Events ]
Error - 06.08.2010 17:54:52 | Computer Name = LISA | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Filtertreiber für IP-Verkehr" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2
Error - 06.08.2010 17:55:19 | Computer Name = LISA | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Proxy für Streaming Clock" wurde aufgrund folgenden
Fehlers nicht gestartet: %%31
Error - 06.08.2010 17:55:45 | Computer Name = LISA | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IR-Enumeratordienst" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1058
Error - 17.08.2010 18:27:58 | Computer Name = LISA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
Error - 17.08.2010 18:27:58 | Computer Name = LISA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
Error - 17.08.2010 18:28:01 | Computer Name = LISA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
Error - 18.08.2010 03:42:34 | Computer Name = LISA | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 18.08.2010 03:42:34 | Computer Name = LISA | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
IntelIde
Error - 18.08.2010 05:11:38 | Computer Name = LISA | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
Error - 18.08.2010 05:14:58 | Computer Name = LISA | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
< End of report >
OTL Logfile: Code:
ATTFilter OTL logfile created on: 18.08.2010 12:04:23 - Run 1 OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy 1.014,00 Mb Total Physical Memory | 295,00 Mb Available Physical Memory | 29,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 73,00% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 55,88 Gb Total Space | 37,06 Gb Free Space | 66,31% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded Drive F: | 232,83 Gb Total Space | 93,88 Gb Free Space | 40,32% Space Free | Partition Type: FAT32 G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: *** Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Ge org Internet Manager\UIMain.exe () PRC - C:\Programme\Ge org Internet Manager\CMUpdater.exe () PRC - C:\Programme\Ge org Internet Manager\AssistantServices.exe () PRC - C:\Programme\Ge org Internet Manager\UIExec.exe () PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.) PRC - C:\Programme\Intel\Wireless\Bin\EOUWiz.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation ) PRC - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation) PRC - C:\Acer\ePM\epm-dm.exe (Acer Inc) PRC - C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\i***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) MOD - C:\WINDOWS\system32\SynTPFcs.dll (Synaptics, Inc.) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (UI Assistant Service) -- C:\Programme\Ge org Internet Manager\AssistantServices.exe () SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (CCALib8) -- C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.) SRV - (S24EventMonitor) Intel(R) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation ) SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation) SRV - (RegSrvc) Intel(R) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (HdAudAddService) -- C:\WINDOWS\System32\drivers\HdAudio.sys File not found DRV - (BTWDNDIS) -- C:\WINDOWS\System32\DRIVERS\btwdndis.sys File not found DRV - (BTKRNL) -- C:\WINDOWS\System32\DRIVERS\btkrnl.sys File not found DRV - (BTDriver) -- C:\WINDOWS\System32\DRIVERS\btport.sys File not found DRV - (btaudio) -- C:\WINDOWS\System32\drivers\btaudio.sys File not found DRV - (Atmarpc) -- C:\WINDOWS\System32\DRIVERS\atmarpc.sys File not found DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ZTEusbnmea) -- C:\WINDOWS\system32\drivers\ZTEusbnmea.sys (ZTE Incorporated) DRV - (ZTEusbser6k) -- C:\WINDOWS\system32\drivers\ZTEusbser6k.sys (ZTE Incorporated) DRV - (ZTEusbmdm6k) -- C:\WINDOWS\system32\drivers\ZTEusbmdm6k.sys (ZTE Incorporated) DRV - (massfilter) -- C:\WINDOWS\system32\drivers\massfilter.sys (ZTE Incorporated) DRV - (tcpipBM) -- C:\WINDOWS\System32\drivers\tcpipBM.sys (Bytemobile, Inc.) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (Changer) -- C:\WINDOWS\System32\drivers\changer.sys (Microsoft Corporation) DRV - (lbrtfdc) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys (Toshiba Corp.) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.) DRV - (UIUSys) -- C:\WINDOWS\system32\drivers\UIUSYS.SYS (Conexant Systems, Inc) DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation) DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation) DRV - (EpmShd) -- C:\WINDOWS\system32\drivers\epm-shd.sys (Acer Value Labs, USA) DRV - (V0070VID) -- C:\WINDOWS\system32\drivers\V0070Vid.sys (Creative Technology Ltd.) DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation) DRV - (EpmPsd) -- C:\WINDOWS\system32\drivers\epm-psd.sys (Acer Value Labs, USA) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "hxxp://www.google.at/" FF - prefs.js..extensions.enabledItems: {8AA36F4F-6DC7-4c06-77AF-5035170634FE}:2008.7.7 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0 FF - HKLM\software\mozilla\Firefox\Extensions\\ff-bmboc@bytemobile.com: C:\Programme\Ge org Internet Manager\addon [2010.05.16 22:29:08 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.05.21 09:50:46 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.21 09:50:46 | 000,000,000 | ---D | M] [2009.12.22 16:25:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2009.12.22 16:53:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dfac3mju.default\extensions [2010.08.17 21:25:18 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.05.25 13:30:50 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{8AA36F4F-6DC7-4c06-77AF-5035170634FE} [2010.05.11 13:01:30 | 000,075,208 | ---- | M] (Foxit Software Company) -- C:\Programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll [2010.05.21 09:50:16 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.05.21 09:50:16 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.05.21 09:50:16 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.05.21 09:50:16 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.05.21 09:50:17 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe (Intel Corporation) O4 - HKLM..\Run: [EPM-DM] c:\Acer\ePM\epm-dm.exe (Acer Inc) O4 - HKLM..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe (Acer Value Labs, Taiwan) O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider) O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation) O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [UIExec] C:\Programme\Ge org Internet Manager\UIExec.exe () O4 - HKLM..\Run: [VF0070 STISvc] C:\WINDOWS\System32\V0070Pin.dll (Creative Technology Ltd.) O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: &Citavi Picker... - C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html () O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.) O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1261483221453 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.12.22 12:19:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{4f476212-0fd2-11df-b88a-00150009ba7b}\Shell\AutoRun\command - "" = F:\Autorun.exe -- File not found O33 - MountPoints2\{4f476212-0fd2-11df-b88a-00150009ba7b}\Shell\Shell00\Command - "" = F:\Autorun.exe -- File not found O33 - MountPoints2\{4f476212-0fd2-11df-b88a-00150009ba7b}\Shell\Shell01\Command - "" = F:\Autorun.exe -- File not found O33 - MountPoints2\{4f476212-0fd2-11df-b88a-00150009ba7b}\Shell\Shell02\Command - "" = F:\Autorun.exe -- File not found O33 - MountPoints2\{6226a07a-6129-11df-b8a7-00150009ba7b}\Shell - "" = AutoRun O33 - MountPoints2\{6226a07a-6129-11df-b8a7-00150009ba7b}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{6226a07a-6129-11df-b8a7-00150009ba7b}\Shell\AutoRun\command - "" = E:\Install.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.18 11:02:46 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2010.08.18 10:37:17 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.08.17 23:52:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes [2010.08.17 23:51:49 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.08.17 23:51:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.08.17 23:51:44 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.08.17 23:51:44 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.08.17 17:54:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\XPSViewer [2010.08.17 17:53:58 | 000,000,000 | ---D | C] -- C:\Programme\MSBuild [2010.08.17 17:53:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\en-US [2010.08.17 17:53:42 | 000,000,000 | ---D | C] -- C:\Programme\Reference Assemblies [2010.08.17 17:52:52 | 000,597,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\printfilterpipelinesvc.exe [2010.08.17 17:52:52 | 000,575,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpsshhdr.dll [2010.08.17 17:52:52 | 000,117,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\prntvpt.dll [2010.08.17 17:52:52 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\filterpipelineprintproc.dll [2010.08.17 17:52:51 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xpssvcs.dll [2010.08.17 17:52:51 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpssvcs.dll [2010.08.17 17:48:12 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2010.08.16 10:36:08 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe [2010.08.16 10:35:20 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll [2010.08.16 10:30:27 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe [2010.08.06 23:43:11 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys [2010.08.06 23:43:11 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\dllcache\lbrtfdc.sys [2010.08.06 23:40:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2010.08.06 23:39:09 | 000,008,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\i2omgmt.sys [2010.08.06 23:38:43 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\changer.sys [2010.08.06 23:38:43 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\changer.sys [2010.08.06 02:02:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc [2010.08.06 01:54:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MozillaControl [2010.08.06 01:52:43 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla ActiveX Control v1.7.12 [2010.07.21 09:12:17 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.18 12:07:53 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\gyhmiej.sys [2010.08.18 11:55:01 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.08.18 11:52:14 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.08.18 11:51:58 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.18 11:51:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.18 11:51:48 | 1063,374,848 | -HS- | M] () -- C:\hiberfil.sys [2010.08.18 11:45:18 | 004,718,592 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.08.18 11:45:18 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.08.18 11:11:46 | 000,042,944 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.08.18 11:02:06 | 000,000,082 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100818_110204.reg [2010.08.18 11:01:35 | 000,000,290 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100818_110132.reg [2010.08.18 11:01:15 | 000,001,182 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100818_110109.reg [2010.08.18 10:59:59 | 000,050,806 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100818_105929.reg [2010.08.17 23:51:53 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.17 18:28:37 | 000,001,629 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Citavi.lnk [2010.08.17 18:12:00 | 000,192,976 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.08.17 18:10:58 | 001,050,716 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.08.17 18:10:58 | 000,451,970 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.08.17 18:10:58 | 000,435,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.08.17 18:10:58 | 000,080,928 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.08.17 18:10:58 | 000,068,156 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.08.17 11:31:01 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.06 01:53:57 | 000,000,691 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2010.08.05 17:28:11 | 004,844,768 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.08.04 22:11:03 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Word 2003.lnk [2010.07.27 08:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shell32.dll [2010.07.24 18:42:07 | 000,017,920 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.23 11:32:20 | 000,000,059 | ---- | M] () -- C:\WINDOWS\wpd99.drv [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.18 11:02:05 | 000,000,082 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100818_110204.reg [2010.08.18 11:01:34 | 000,000,290 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100818_110132.reg [2010.08.18 11:01:13 | 000,001,182 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100818_110109.reg [2010.08.18 10:59:35 | 000,050,806 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100818_105929.reg [2010.08.17 23:51:53 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.06 23:55:48 | 000,764,416 | ---- | C] () -- C:\WINDOWS\System32\drivers\gyhmiej.sys [2010.08.06 01:51:53 | 000,000,691 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2010.05.10 18:07:33 | 000,017,920 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.01.30 22:13:06 | 000,008,589 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2010.01.19 18:07:20 | 000,000,028 | ---- | C] () -- C:\WINDOWS\pdf995.ini [2010.01.19 18:02:44 | 000,000,059 | ---- | C] () -- C:\WINDOWS\wpd99.drv [2010.01.19 18:02:43 | 000,051,716 | ---- | C] () -- C:\WINDOWS\System32\pdf995mon.dll [2010.01.18 17:46:20 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.12.22 13:10:24 | 000,135,168 | R--- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2009.12.22 13:07:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NT.INI [2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI < End of report > Ich weiß wirklich nicht, was ich machen soll, ich hoffe ich hab soweit alle Schritte abgehakt - bin sehrsehr dankbar für eure Hilfe!! |
|
18.08.2010, 12:52
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Hallo und
__________________ Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________ |
|
18.08.2010, 14:02
| #3 |
| | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Hallo,
__________________hier der Malwarebyte Vollscan-Report - findet offensichtlich auch hier nichts... Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4445 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.08.2010 14:57:14 mbam-log-2010-08-18 (14-57-14).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 181042 Laufzeit: 42 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) aber mein PC hängt definitiv, ist sehr langsam und auch die Internetverbindung wird laufend getrennt, in WLAN kann ich mich gar nicht einloggen... |
|
18.08.2010, 14:17
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
18.08.2010, 15:26
| #5 |
| | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Alsooo, der GMER Scan hat folgendes ergeben: GMER Logfile: Code:
ATTFilter GMER 1.0.15.14966 - hxxp://www.gmer.net
Rootkit scan 2010-08-18 16:12:28
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT F7C25E86 ZwCreateKey
SSDT F7C25E7C ZwCreateThread
SSDT F7C25E8B ZwDeleteKey
SSDT F7C25E95 ZwDeleteValueKey
SSDT F7C25E9A ZwLoadKey
SSDT F7C25E68 ZwOpenProcess
SSDT F7C25E6D ZwOpenThread
SSDT F7C25EA4 ZwReplaceKey
SSDT F7C25E9F ZwRestoreKey
SSDT F7C25E90 ZwSetValueKey
SSDT F7C25E77 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text gyhmiej.sys F73BD000 12 Bytes JMP F740EBC2 gyhmiej.sys
.text gyhmiej.sys F73BD00D 5 Bytes [00, 9C, E9, F6, 19]
.text gyhmiej.sys F73BD020 32 Bytes [D3, DD, 8D, 6C, 24, 30, 66, ...]
.text gyhmiej.sys F73BD041 8 Bytes [E7, F5, F6, C6, C8, E8, 8C, ...]
.text gyhmiej.sys F73BD04A 12 Bytes [00, 88, 34, 24, 8D, 64, 24, ...]
.text ...
? C:\WINDOWS\system32\drivers\gyhmiej.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F72B6E55 4 Bytes CALL 86531181
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F784EFE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F784EFE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 865661E0
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] gyhmiej <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\gyhmiej@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gyhmiej@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\gyhmiej@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\gyhmiej@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet003\Services\gyhmiej@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gyhmiej@Start 0
Reg HKLM\SYSTEM\ControlSet003\Services\gyhmiej@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\gyhmiej@Group Boot Bus Extender
---- EOF - GMER 1.0.15 ----
Der Osam Scan: OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 16:21:44 on 18.08.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Acer EPM Power Scheme Driver" (EpmPsd) - "Acer Value Labs, USA" - C:\WINDOWS\system32\drivers\epm-psd.sys "Acer EPM System Hardware Driver" (EpmShd) - "Acer Value Labs, USA" - C:\WINDOWS\system32\drivers\epm-shd.sys "AEGIS Protocol (IEEE 802.1x) v3.4.5.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys "aujasnkj" (aujasnkj) - ? - C:\DOKUME~1\islas\LOKALE~1\Temp\aujasnkj.sys (Hidden registry entry, rootkit activity | File not found) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "Bluetooth-Audiogerät" (btaudio) - ? - C:\WINDOWS\System32\drivers\btaudio.sys (File not found) "Bluetooth-Bus-Enumerator" (BTKRNL) - ? - C:\WINDOWS\System32\DRIVERS\btkrnl.sys (File not found) "Bluetooth-LAN-Zugangsserver" (BTWDNDIS) - ? - C:\WINDOWS\System32\DRIVERS\btwdndis.sys (File not found) "Bytemobile Boot Time Load Driver" (BMLoad) - "Bytemobile, Inc." - C:\WINDOWS\System32\drivers\BMLoad.sys "Bytemobile Kernel Network Provider" (tcpipBM) - "Bytemobile, Inc." - C:\WINDOWS\system32\drivers\tcpipBM.sys "Conexant Setup API" (UIUSys) - "Conexant Systems, Inc" - C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS "gyhmiej" (gyhmiej) - ? - C:\WINDOWS\system32\drivers\gyhmiej.sys (Hidden file | Hidden registry entry, rootkit activity | File found, but it contains no detailed information) "Microsoft UAA Function Driver for High Definition Audio Service" (HdAudAddService) - ? - C:\WINDOWS\System32\drivers\HdAudio.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Protokoll für ATM ARP-Client" (Atmarpc) - ? - C:\WINDOWS\System32\DRIVERS\atmarpc.sys (File not found) "roxer" (roxer) - ? - C:\WINDOWS\system32\drivers\roxer.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "Virtueller Bluetooth-Kommunikationstreiber" (BTDriver) - ? - C:\WINDOWS\System32\DRIVERS\btport.sys (File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0} "EPM-PO Shell Extensions" - "Acer Labs USA" - C:\WINDOWS\system32\epm-po.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10h.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {609D670F-B735-4da7-AC6D-F3BD358E325E} "Citavi Picker" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {609D670F-B735-4da7-AC6D-F3BD358E325E} "Asz.Citavi.IEPicker.IEPickerButton" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\islas\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized "swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "EOUApp" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" "EPM-DM" - "Acer Inc" - c:\acer\epm\epm-dm.exe "ePowerManagement" - "Acer Value Labs, Taiwan" - C:\Acer\ePM\ePM.exe boot "IntelWireless" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless "IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" "TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "UIExec" - ? - "C:\Programme\Ge org Internet Manager\UIExec.exe" (File found, but it contains no detailed information) [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll "PDF995 Monitor" - ? - C:\WINDOWS\system32\pdf995mon.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Canon Camera Access Library 8" (CCALib8) - "Canon Inc." - C:\Programme\Canon\CAL\CALMAIN.exe "Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe "Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe "Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "UI Assistant Service" (UI Assistant Service) - ? - C:\Programme\Ge org Internet Manager\AssistantServices.exe (File found, but it contains no detailed information) "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== In beiden Fällen bin ich nicht sicher, ob auch die externe Festplatte geprüft wurde, angeschlossen war sie jedenfalls... den bootkit remover downloade ich dann jetzt - wollte nur sichergehen, die ergebnisse einmal gepostet zu haben, falls mir dann alles abstürzen sollte oder so ;-) |
|
18.08.2010, 15:34
| #6 |
| | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Das ist jetzt auch das Ergebnis des Bootkit Removers: Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 55 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done.. und dann ist da auch noch diese File auf meinen Desktop: .\debug.cpp(238) : Debug log started at 18.08.2010 - 14:31:37 .\boot_cleaner.cpp(675) : Bootkit Remover .\boot_cleaner.cpp(676) : (c) 2009 eSage Lab .\boot_cleaner.cpp(677) : www.esagelab.com .\boot_cleaner.cpp(681) : Program version: 1.1.0.0 .\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) .\debug.cpp(248) : ********************************************** .\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] *********** .\debug.cpp(250) : ********************************************** .\debug.cpp(256) : 0x804d7000 0x001f9280 "\WINDOWS\system32\ntkrnlpa.exe" .\debug.cpp(256) : 0x806d1000 0x00020300 "\WINDOWS\system32\hal.dll" .\debug.cpp(256) : 0xf7abe000 0x00002000 "\WINDOWS\system32\KDCOM.DLL" .\debug.cpp(256) : 0xf79ce000 0x00003000 "\WINDOWS\system32\BOOTVID.dll" .\debug.cpp(256) : 0xf748e000 0x0002f000 "ACPI.sys" .\debug.cpp(256) : 0xf7ac0000 0x00002000 "\WINDOWS\system32\DRIVERS\WMILIB.SYS" .\debug.cpp(256) : 0xf747d000 0x00011000 "pci.sys" .\debug.cpp(256) : 0xf75be000 0x0000a000 "isapnp.sys" .\debug.cpp(256) : 0xf73bc000 0x000c1000 "gyhmiej.sys" .\debug.cpp(256) : 0xf79d2000 0x00003000 "compbatt.sys" .\debug.cpp(256) : 0xf79d6000 0x00004000 "\WINDOWS\system32\DRIVERS\BATTC.SYS" .\debug.cpp(256) : 0xf7b86000 0x00001000 "pciide.sys" .\debug.cpp(256) : 0xf783e000 0x00007000 "\WINDOWS\system32\DRIVERS\PCIIDEX.SYS" .\debug.cpp(256) : 0xf7ac2000 0x00002000 "intelide.sys" .\debug.cpp(256) : 0xf739e000 0x0001e000 "pcmcia.sys" .\debug.cpp(256) : 0xf75ce000 0x0000b000 "MountMgr.sys" .\debug.cpp(256) : 0xf737f000 0x0001f000 "ftdisk.sys" .\debug.cpp(256) : 0xf79da000 0x00003000 "ACPIEC.sys" .\debug.cpp(256) : 0xf7b87000 0x00001000 "\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS" .\debug.cpp(256) : 0xf7846000 0x00005000 "PartMgr.sys" .\debug.cpp(256) : 0xf75de000 0x0000e000 "VolSnap.sys" .\debug.cpp(256) : 0xf7367000 0x00018000 "atapi.sys" .\debug.cpp(256) : 0xf75ee000 0x00009000 "disk.sys" .\debug.cpp(256) : 0xf75fe000 0x0000d000 "\WINDOWS\system32\DRIVERS\CLASSPNP.SYS" .\debug.cpp(256) : 0xf7347000 0x00020000 "fltmgr.sys" .\debug.cpp(256) : 0xf7335000 0x00012000 "sr.sys" .\debug.cpp(256) : 0xf731e000 0x00017000 "KSecDD.sys" .\debug.cpp(256) : 0xf7291000 0x0008d000 "Ntfs.sys" .\debug.cpp(256) : 0xf7264000 0x0002d000 "NDIS.sys" .\debug.cpp(256) : 0xf724a000 0x0001a000 "Mup.sys" .\debug.cpp(256) : 0xf784e000 0x00006000 "BMLoad.sys" .\debug.cpp(256) : 0xf775e000 0x0000a000 "\SystemRoot\system32\DRIVERS\intelppm.sys" .\debug.cpp(256) : 0xf70df000 0x00101000 "\SystemRoot\system32\DRIVERS\ialmnt5.sys" .\debug.cpp(256) : 0xf70cb000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS" .\debug.cpp(256) : 0xf70a3000 0x00028000 "\SystemRoot\system32\DRIVERS\HDAudBus.sys" .\debug.cpp(256) : 0xf78ee000 0x00006000 "\SystemRoot\system32\DRIVERS\usbuhci.sys" .\debug.cpp(256) : 0xf707f000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS" .\debug.cpp(256) : 0xf78f6000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys" .\debug.cpp(256) : 0xf6d59000 0x00326000 "\SystemRoot\system32\DRIVERS\w29n51.sys" .\debug.cpp(256) : 0xf78fe000 0x00006000 "\SystemRoot\system32\DRIVERS\RTL8139.SYS" .\debug.cpp(256) : 0xf776e000 0x0000d000 "\SystemRoot\system32\DRIVERS\i8042prt.sys" .\debug.cpp(256) : 0xf7906000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys" .\debug.cpp(256) : 0xf6d2a000 0x0002f000 "\SystemRoot\system32\DRIVERS\SynTP.sys" .\debug.cpp(256) : 0xf7ae2000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS" .\debug.cpp(256) : 0xf790e000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys" .\debug.cpp(256) : 0xf777e000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys" .\debug.cpp(256) : 0xf778e000 0x00010000 "\SystemRoot\system32\DRIVERS\cdrom.sys" .\debug.cpp(256) : 0xf779e000 0x0000f000 "\SystemRoot\system32\DRIVERS\redbook.sys" .\debug.cpp(256) : 0xf6d07000 0x00023000 "\SystemRoot\system32\DRIVERS\ks.sys" .\debug.cpp(256) : 0xf7a7e000 0x00004000 "\SystemRoot\system32\DRIVERS\CmBatt.sys" .\debug.cpp(256) : 0xf7c09000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys" .\debug.cpp(256) : 0xf77ae000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys" .\debug.cpp(256) : 0xf7a82000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys" .\debug.cpp(256) : 0xf6cc0000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys" .\debug.cpp(256) : 0xf77be000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys" .\debug.cpp(256) : 0xf77ce000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys" .\debug.cpp(256) : 0xf7916000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS" .\debug.cpp(256) : 0xf6caf000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys" .\debug.cpp(256) : 0xf77de000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys" .\debug.cpp(256) : 0xf791e000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys" .\debug.cpp(256) : 0xf7926000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys" .\debug.cpp(256) : 0xf77ee000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys" .\debug.cpp(256) : 0xf7ae8000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys" .\debug.cpp(256) : 0xf6c29000 0x0005e000 "\SystemRoot\system32\DRIVERS\update.sys" .\debug.cpp(256) : 0xf7a9a000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys" .\debug.cpp(256) : 0xf780e000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS" .\debug.cpp(256) : 0xaa3c0000 0x00400000 "\SystemRoot\system32\drivers\RtkHDAud.sys" .\debug.cpp(256) : 0xaa39c000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys" .\debug.cpp(256) : 0xf782e000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys" .\debug.cpp(256) : 0xf762e000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys" .\debug.cpp(256) : 0xf7a62000 0x00003000 "\SystemRoot\System32\Drivers\i2omgmt.SYS" .\debug.cpp(256) : 0xf7b06000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS" .\debug.cpp(256) : 0xf7c7d000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS" .\debug.cpp(256) : 0xf7b08000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS" .\debug.cpp(256) : 0xf795e000 0x00006000 "\SystemRoot\System32\drivers\vga.sys" .\debug.cpp(256) : 0xf7b0a000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS" .\debug.cpp(256) : 0xf7b0c000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys" .\debug.cpp(256) : 0xf7966000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS" .\debug.cpp(256) : 0xf796e000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS" .\debug.cpp(256) : 0xf7a66000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys" .\debug.cpp(256) : 0xaa2a1000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys" .\debug.cpp(256) : 0xaa248000 0x00059000 "\SystemRoot\system32\DRIVERS\tcpip.sys" .\debug.cpp(256) : 0xf7976000 0x00005000 "\SystemRoot\System32\Drivers\tcpipBM.SYS" .\debug.cpp(256) : 0xaa220000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys" .\debug.cpp(256) : 0xaa1fe000 0x00022000 "\SystemRoot\System32\drivers\afd.sys" .\debug.cpp(256) : 0xf764e000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys" .\debug.cpp(256) : 0xf797e000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys" .\debug.cpp(256) : 0xaa1d3000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys" .\debug.cpp(256) : 0xaa163000 0x00070000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys" .\debug.cpp(256) : 0xf765e000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS" .\debug.cpp(256) : 0xaa13d000 0x00026000 "\SystemRoot\system32\DRIVERS\ipnat.sys" .\debug.cpp(256) : 0xf766e000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys" .\debug.cpp(256) : 0xaa0f9000 0x0001c000 "\SystemRoot\system32\DRIVERS\avipbb.sys" .\debug.cpp(256) : 0xf7b12000 0x00002000 "\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys" .\debug.cpp(256) : 0xf769e000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS" .\debug.cpp(256) : 0xf79a6000 0x00007000 "\SystemRoot\system32\DRIVERS\USBSTOR.SYS" .\debug.cpp(256) : 0xaa0e1000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys" .\debug.cpp(256) : 0xf7b22000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS" .\debug.cpp(256) : 0xbf800000 0x001c5000 "\SystemRoot\System32\win32k.sys" .\debug.cpp(256) : 0xf7aba000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys" .\debug.cpp(256) : 0xf79be000 0x00005000 "\SystemRoot\System32\watchdog.sys" .\debug.cpp(256) : 0xbf000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys" .\debug.cpp(256) : 0xf7bfe000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys" .\debug.cpp(256) : 0xbf020000 0x00021000 "\SystemRoot\System32\ialmdnt5.dll" .\debug.cpp(256) : 0xbf012000 0x0000e000 "\SystemRoot\System32\ialmrnt5.dll" .\debug.cpp(256) : 0xbf041000 0x00034000 "\SystemRoot\System32\ialmdev5.DLL" .\debug.cpp(256) : 0xbf075000 0x000e2000 "\SystemRoot\System32\ialmdd5.DLL" .\debug.cpp(256) : 0xaa0bd000 0x00024000 "\SystemRoot\System32\Drivers\Fastfat.SYS" .\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL" .\debug.cpp(256) : 0xa9f69000 0x00014000 "\SystemRoot\system32\DRIVERS\avgntflt.sys" .\debug.cpp(256) : 0xf7866000 0x00008000 "\SystemRoot\system32\DRIVERS\usbccgp.sys" .\debug.cpp(256) : 0xa9f27000 0x0001a000 "\SystemRoot\system32\DRIVERS\ZTEusbser6k.sys" .\debug.cpp(256) : 0xa9f0d000 0x0001a000 "\SystemRoot\system32\DRIVERS\ZTEusbnmea.sys" .\debug.cpp(256) : 0xa9ecb000 0x0001a000 "\SystemRoot\system32\DRIVERS\ZTEusbmdm6k.sys" .\debug.cpp(256) : 0xf7876000 0x00008000 "\SystemRoot\System32\Drivers\Modem.SYS" .\debug.cpp(256) : 0xf787e000 0x00005000 "\SystemRoot\system32\DRIVERS\AegisP.sys" .\debug.cpp(256) : 0xa9f61000 0x00004000 "\SystemRoot\system32\DRIVERS\s24trans.sys" .\debug.cpp(256) : 0xa9ee5000 0x00004000 "\SystemRoot\system32\DRIVERS\ndisuio.sys" .\debug.cpp(256) : 0xa9bce000 0x0002d000 "\SystemRoot\system32\DRIVERS\mrxdav.sys" .\debug.cpp(256) : 0xf7ce5000 0x00001000 "\??\C:\WINDOWS\system32\drivers\epm-psd.sys" .\debug.cpp(256) : 0xa9b6a000 0x00014000 "\??\C:\WINDOWS\system32\drivers\epm-shd.sys" .\debug.cpp(256) : 0xa9ac3000 0x00057000 "\SystemRoot\system32\DRIVERS\srv.sys" .\debug.cpp(256) : 0xa98ce000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys" .\debug.cpp(256) : 0xa9d43000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys" .\debug.cpp(256) : 0xa9365000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys" .\debug.cpp(256) : 0xa8f13000 0x00004000 "\SystemRoot\system32\DRIVERS\asyncmac.sys" .\debug.cpp(256) : 0xa88ca000 0x00014000 "\??\C:\DOKUME~1\islas\LOKALE~1\Temp\aujasnkj.sys" .\debug.cpp(256) : 0xa8874000 0x0002b000 "\SystemRoot\system32\drivers\kmixer.sys" .\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINDOWS\system32\ntdll.dll" .\debug.cpp(263) : ********************************************** .\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] *********** .\debug.cpp(308) : ********************************************** .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1" .\debug.cpp(400) : Destination="\Device\Video0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_265A&SUBSYS_008F1025&REV_04#3&b1bfb68&0&EA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0009" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&ff2248e&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}" .\debug.cpp(400) : Destination="\Device\USBPDO-3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_ZTE&Prod_MMC_Storage&Rev_2.31#7&10610a8e&0&P671A1TMOD010000&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\0000008d" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS" .\debug.cpp(400) : Destination="\Device\Ndis" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:" .\debug.cpp(400) : Destination="\Device\CdRom0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}" .\debug.cpp(400) : Destination="\Device\00000046" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000034" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{77AD6D19-EE62-4BF4-9B7E-6C5A48EAB013}" .\debug.cpp(400) : Destination="\Device\{77AD6D19-EE62-4BF4-9B7E-6C5A48EAB013}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{71985f4a-1ca1-11d3-9cc8-00c04f7971e0}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2" .\debug.cpp(400) : Destination="\Device\Video1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2792&SUBSYS_008F1025&REV_03#3&b1bfb68&0&11#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0002" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{43F61FA3-7105-41CC-9EA3-D02F46467DF8}" .\debug.cpp(400) : Destination="\Device\{43F61FA3-7105-41CC-9EA3-D02F46467DF8}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\S24TRANS_S24TRANS_{0F20284B-D447-4AE2-A48C-C3DDC3EF0FB0}" .\debug.cpp(400) : Destination="\Device\s24trans_{0F20284B-D447-4AE2-A48C-C3DDC3EF0FB0}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0260&SUBSYS_1025160D&REV_1004#4&58ef957&0&0001#{65e8773e-8f56-11d0-a3b9-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000007a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3" .\debug.cpp(400) : Destination="\Device\Video2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip" .\debug.cpp(400) : Destination="\Device\Ip" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{113fb434-612a-11df-b8a8-00150009ba7b}" .\debug.cpp(400) : Destination="\Device\Harddisk2\DP(1)0-0+5" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0D#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}" .\debug.cpp(400) : Destination="\Device\00000045" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000033" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4" .\debug.cpp(400) : Destination="\Device\Video3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio" .\debug.cpp(400) : Destination="\Device\avgio" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev" .\debug.cpp(400) : Destination="\Device\IPSEC" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:" .\debug.cpp(400) : Destination="\Device\Harddisk2\DP(1)0-0+5" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0260&SUBSYS_1025160D&REV_1004#4&58ef957&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000007a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9aa4a2cc-81e0-4cfd-802f-0f74526d2bd3}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY5" .\debug.cpp(400) : Destination="\Device\Video4" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\s24trans_{0F20284B-D447-4AE2-A48C-C3DDC3EF0FB0}" .\debug.cpp(400) : Destination="\Device\s24trans_{0F20284B-D447-4AE2-A48C-C3DDC3EF0FB0}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY" .\debug.cpp(400) : Destination="\Device\NDProxy" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{eeab7790-c514-11d1-b42b-00805fc1270e}#asyncmac#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\KSENUM#0000000b" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_4220&SUBSYS_27018086&REV_05#4&1d3f0fbb&0&20F0#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0017" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#SYN1003#4&28561d4b&0#{378de44c-56ef-11d1-bc8c-00a0c91405dd}" .\debug.cpp(400) : Destination="\Device\00000065" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\CompositeBattery" .\debug.cpp(400) : Destination="\Device\CompositeBattery" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_265C&SUBSYS_008F1025&REV_04#3&b1bfb68&0&EF#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0011" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_19d2&Pid_0031&MI_00#6&2ea0f99e&0&0000#{c88e99de-6905-47d6-ae7e-a110aa903b98}" .\debug.cpp(400) : Destination="\Device\00000087" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0A#1#{72631e54-78a4-11d0-bcf7-00aa00b7b32a}" .\debug.cpp(400) : Destination="\Device\00000044" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\aujasnkj" .\debug.cpp(400) : Destination="\Device\aujasnkj" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\F:" .\debug.cpp(400) : Destination="\Device\HarddiskVolume2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice" .\debug.cpp(400) : Destination="\Device\WMIDataDevice" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\CX2IOCTL" .\debug.cpp(400) : Destination="\Device\CX2IOCTL" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVD-RW_GWA-4082N_______________CP03____#4338384343393035353846352020202020202020#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T1L0-c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_19d2&Pid_0031&MI_01#6&2ea0f99e&0&0001#{c88e99de-6905-47d6-ae7e-a110aa903b98}" .\debug.cpp(400) : Destination="\Device\00000088" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#8&271b4867&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\Harddisk2\DP(1)0-0+5" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt" .\debug.cpp(400) : Destination="\FileSystem\Filters\avgntflt" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE" .\debug.cpp(400) : Destination="\Device\NamedPipe" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM3" .\debug.cpp(400) : Destination="\Device\QCUSB_COM3_1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}" .\debug.cpp(400) : Destination="\Device\KSENUM#00000002" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#8&271b4867&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\Harddisk2\DP(1)0-0+5" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{0a4252a0-7e70-11d0-a5d6-28db04c10000}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10EC&DEV_8139&SUBSYS_FF311179&REV_10#4&1d3f0fbb&0&40F0#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0018" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT" .\debug.cpp(400) : Destination="\Device\IPNAT" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC" .\debug.cpp(400) : Destination="\Device\Mup" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched" .\debug.cpp(400) : Destination="\Device\PSched" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM4" .\debug.cpp(400) : Destination="\Device\QCUSB_COM4_1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{B999C84E-50E5-42D8-B1D8-95087456D854}" .\debug.cpp(400) : Destination="\Device\{B999C84E-50E5-42D8-B1D8-95087456D854}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\I2OExec" .\debug.cpp(400) : Destination="\Device\I2OExec" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp" .\debug.cpp(400) : Destination="\Device\Tcp" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\bmksa" .\debug.cpp(400) : Destination="\Device\bmksa" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM5" .\debug.cpp(400) : Destination="\Device\QCUSB_COM5_1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg" .\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgrMsg" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0260&SUBSYS_1025160D&REV_1004#4&58ef957&0&0001#{86841137-ed8e-4d97-9975-f2ed56b4430e}" .\debug.cpp(400) : Destination="\Device\0000007a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0" .\debug.cpp(400) : Destination="\Device\USBFDO-0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000039" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD" .\debug.cpp(400) : Destination="\Device\VideoPdo0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1" .\debug.cpp(400) : Destination="\Device\USBFDO-1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0" .\debug.cpp(400) : Destination="\Device\Harddisk0\DR0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000037" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{cf1dda2c-9743-11d0-a3ee-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2659&SUBSYS_008F1025&REV_04#3&b1bfb68&0&E9#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0008" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_265B&SUBSYS_008F1025&REV_04#3&b1bfb68&0&EB#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0010" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2" .\debug.cpp(400) : Destination="\Device\USBFDO-2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN" .\debug.cpp(400) : Destination="\DosDevices\LPT1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\BMLoad" .\debug.cpp(400) : Destination="\Device\BMLoad" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0" .\debug.cpp(400) : Destination="\Device\CdRom0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{7A28E66F-869A-4685-8557-5D66CF0401F4}" .\debug.cpp(400) : Destination="\Device\{7A28E66F-869A-4685-8557-5D66CF0401F4}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000036" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000038" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3" .\debug.cpp(400) : Destination="\Device\USBFDO-3" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap" .\debug.cpp(400) : Destination="\Device\FsWrap" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio" .\debug.cpp(400) : Destination="\Device\sysaudio" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive1" .\debug.cpp(400) : Destination="\Device\Harddisk1\DR2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4" .\debug.cpp(400) : Destination="\Device\USBFDO-4" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0260&SUBSYS_1025160D&REV_1004#4&58ef957&0&0001#{65e8773d-8f56-11d0-a3b9-00a0c9223196}" .\debug.cpp(400) : Destination="\Device\0000007a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive2" .\debug.cpp(400) : Destination="\Device\Harddisk2\DR4" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}" .\debug.cpp(400) : Destination="\Device\00000049" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{0EBBFADD-5EAA-4006-B346-22556F5519F2}" .\debug.cpp(400) : Destination="\Device\{0EBBFADD-5EAA-4006-B346-22556F5519F2}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global" .\debug.cpp(400) : Destination="\GLOBAL??" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\S24TRANS_S24TRANS.SYS" .\debug.cpp(400) : Destination="\Device\S24Trans.sys" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Pcmcia0" .\debug.cpp(400) : Destination="\Device\Pcmcia0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}" .\debug.cpp(400) : Destination="\Device\00000048" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2592&SUBSYS_008F1025&REV_03#3&b1bfb68&0&10#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0001" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\bmknet" .\debug.cpp(400) : Destination="\Device\bmknet" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_07ab&Pid_fc86#DE708EF0599F#{a5dcbf10-6530-11d2-901f-00c04fb951ed}" .\debug.cpp(400) : Destination="\Device\USBPDO-6" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{1C934E94-B9FF-75CA-8D24-67BA29FAC1FF}" .\debug.cpp(400) : Destination="\Device\{1C934E94-B9FF-75CA-8D24-67BA29FAC1FF}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVD-RW_GWA-4082N_______________CP03____#4338384343393035353846352020202020202020#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T1L0-c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}" .\debug.cpp(400) : Destination="\Device\KSENUM#00000002" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{07dad660-22f1-11d1-a9f4-00c04fbbde8f}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{0F20284B-D447-4AE2-A48C-C3DDC3EF0FB0}" .\debug.cpp(400) : Destination="\Device\{0F20284B-D447-4AE2-A48C-C3DDC3EF0FB0}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature68CB00COffset7E00Length3A388A8400#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVD-RW_GWA-4082N_______________CP03____#4338384343393035353846352020202020202020#{1186654d-47b8-48b9-beb9-7df113ae3c67}" .\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T1L0-c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&SignatureE911E911Offset7E00LengthDF87B0000#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_13#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}" .\debug.cpp(400) : Destination="\Device\00000041" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{194C545E-116F-42C2-866E-3FF50376832B}" .\debug.cpp(400) : Destination="\Device\{194C545E-116F-42C2-866E-3FF50376832B}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#4&28561d4b&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}" .\debug.cpp(400) : Destination="\Device\00000064" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_19d2&Pid_0031&MI_03#6&2ea0f99e&0&0003#{c88e99de-6905-47d6-ae7e-a110aa903b98}" .\debug.cpp(400) : Destination="\Device\0000008a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager" .\debug.cpp(400) : Destination="\Device\MountPointManager" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0E#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}" .\debug.cpp(400) : Destination="\Device\00000047" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000032" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl" .\debug.cpp(400) : Destination="\Device\ssmctl" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}" .\debug.cpp(400) : Destination="\Device\KSENUM#00000002" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\EPMSHD" .\debug.cpp(400) : Destination="\Device\EPMSHD" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{2cc26a74-eedf-11de-948a-806d6172696f}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\00000003" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{2FF8941E-AD3E-4608-9589-931CE4859E0B}" .\debug.cpp(400) : Destination="\Device\{2FF8941E-AD3E-4608-9589-931CE4859E0B}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskWDC_WD600UE-22HCT0______________________09.07D09#5&14b7e157&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T0L0-4" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp" .\debug.cpp(400) : Destination="\Device\WANARP" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{fac51ac1-eee0-11de-b853-806d6172696f}" .\debug.cpp(400) : Destination="\Device\CdRom0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{94F53531-6F7D-4E34-B9F4-34981A91BE94}" .\debug.cpp(400) : Destination="\Device\{94F53531-6F7D-4E34-B9F4-34981A91BE94}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_19d2&Pid_0031&MI_00#6&2ea0f99e&0&0000#{86e0d1e0-8089-11d0-9ce4-08003e301f73}" .\debug.cpp(400) : Destination="\Device\00000087" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP" .\debug.cpp(400) : Destination="\Device\NdisWanIp" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\EPMPSD" .\debug.cpp(400) : Destination="\Device\EPMPSD" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:" .\debug.cpp(400) : Destination="\Device\Ide\IdePort0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_19d2&Pid_0031#P671A1TMOD010000#{a5dcbf10-6530-11d2-901f-00c04fb951ed}" .\debug.cpp(400) : Destination="\Device\USBPDO-5" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_WDC_WD25&Prod_00BEVS-22VAT0&Rev_#DE708EF0599F&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}" .\debug.cpp(400) : Destination="\Device\00000085" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}" .\debug.cpp(400) : Destination="\Device\KSENUM#00000002" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\AegisP" .\debug.cpp(400) : Destination="\Device\AegisP" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ASYNCMAC" .\debug.cpp(400) : Destination="\Device\ASYNCMAC" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\{1928ED63-F805-4C1F-8FAC-8EA6C7126725}" .\debug.cpp(400) : Destination="\Device\{1928ED63-F805-4C1F-8FAC-8EA6C7126725}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2658&SUBSYS_008F1025&REV_04#3&b1bfb68&0&E8#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}" .\debug.cpp(400) : Destination="\Device\NTPNP_PCI0007" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&288f7866&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}" .\debug.cpp(400) : Destination="\Device\USBPDO-0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0260&SUBSYS_1025160D&REV_1004#4&58ef957&0&0001#{dda54a40-1e4c-11d1-a050-405705c10000}" .\debug.cpp(400) : Destination="\Device\0000007a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1" .\debug.cpp(400) : Destination="\Device\ParTechInc0" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}" .\debug.cpp(400) : Destination="\Device\00000035" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2" .\debug.cpp(400) : Destination="\Device\ParTechInc1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST" .\debug.cpp(400) : Destination="\Device\IPMULTICAST" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_19d2&Pid_0031&MI_01#6&2ea0f99e&0&0001#{86e0d1e0-8089-11d0-9ce4-08003e301f73}" .\debug.cpp(400) : Destination="\Device\00000088" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\S24Trans.sys" .\debug.cpp(400) : Destination="\Device\S24Trans.sys" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan" .\debug.cpp(400) : Destination="\Device\NdisWan" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI" .\debug.cpp(400) : Destination="\Device\NdisTapi" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\AegisP_{0F20284B-D447-4AE2-A48C-C3DDC3EF0FB0}" .\debug.cpp(400) : Destination="\Device\AegisP_{0F20284B-D447-4AE2-A48C-C3DDC3EF0FB0}" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}" .\debug.cpp(400) : Destination="\Device\0000003c" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3" .\debug.cpp(400) : Destination="\Device\ParTechInc2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_19d2&Pid_0031&MI_03#6&2ea0f99e&0&0003#{2c7089aa-2e0e-11d1-b114-00c04fc2aae4}" .\debug.cpp(400) : Destination="\Device\0000008a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow" .\debug.cpp(400) : Destination="\Device\LanmanRedirector" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl" .\debug.cpp(400) : Destination="\Device\FtControl" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr" .\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgr" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\ZTE Proprietary USB Modem" .\debug.cpp(400) : Destination="\Device\0000008a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:" .\debug.cpp(400) : Destination="\Device\HarddiskVolume1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX" .\debug.cpp(400) : Destination="\DosDevices\COM1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT" .\debug.cpp(400) : Destination="\Device\MailSlot" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio" .\debug.cpp(400) : Destination="\Device\Ndisuio" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&217c4d45&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}" .\debug.cpp(400) : Destination="\Device\USBPDO-2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}" .\debug.cpp(400) : Destination="\Device\0000003b" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT" .\debug.cpp(400) : Destination="" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL" .\debug.cpp(400) : Destination="\Device\Null" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&323a39d1&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}" .\debug.cpp(400) : Destination="\Device\USBPDO-1" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&3a19a11d&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}" .\debug.cpp(400) : Destination="\Device\USBPDO-4" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}" .\debug.cpp(400) : Destination="\Device\0000003a" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\SYNTP" .\debug.cpp(400) : Destination="\Device\SynTP" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{25733492-0443-11df-b86a-00150009ba7b}" .\debug.cpp(400) : Destination="\Device\HarddiskVolume2" .\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb" .\debug.cpp(400) : Destination="\Device\avipbb" .\debug.cpp(451) : ********************************************** .\boot_cleaner.cpp(1077) : System volume is \\.\C: .\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 .\boot_cleaner.cpp(424) : Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf .\boot_cleaner.cpp(1151) : .\boot_cleaner.cpp(1152) : Size Device Name MBR Status .\boot_cleaner.cpp(1153) : -------------------------------------------- .\boot_cleaner.cpp(1197) : 55 GB \\.\PhysicalDrive0 Unknown boot code .\boot_cleaner.cpp(1203) : .\boot_cleaner.cpp(1209) : Unknown boot code has been found on some of your physical disks. .\boot_cleaner.cpp(1211) : To inspect the boot code manually, dump the master boot sector: .\boot_cleaner.cpp(1212) : remover.exe dump <device_name> [output_file] .\boot_cleaner.cpp(1216) : To disinfect the master boot sector, use the following command: .\boot_cleaner.cpp(1217) : remover.exe fix <device_name> .\boot_cleaner.cpp(1220) : .\boot_cleaner.cpp(1242) : Done; nachdem ich leider davon nur Bahnhof verstehe - was mach ich jetzt damit?? danke nochmals!! |
|
18.08.2010, 17:36
| #7 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184Zitat:
Anschließend: Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.08.2010, 18:18
| #8 |
| | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Sooo, hier das neue osam logfile - dürfte weg sein, oder?? OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 19:11:45 on 18.08.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.5.9 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Acer EPM Power Scheme Driver" (EpmPsd) - "Acer Value Labs, USA" - C:\WINDOWS\system32\drivers\epm-psd.sys "Acer EPM System Hardware Driver" (EpmShd) - "Acer Value Labs, USA" - C:\WINDOWS\system32\drivers\epm-shd.sys "AEGIS Protocol (IEEE 802.1x) v3.4.5.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "Bluetooth-Audiogerät" (btaudio) - ? - C:\WINDOWS\System32\drivers\btaudio.sys (File not found) "Bluetooth-Bus-Enumerator" (BTKRNL) - ? - C:\WINDOWS\System32\DRIVERS\btkrnl.sys (File not found) "Bluetooth-LAN-Zugangsserver" (BTWDNDIS) - ? - C:\WINDOWS\System32\DRIVERS\btwdndis.sys (File not found) "Bytemobile Boot Time Load Driver" (BMLoad) - "Bytemobile, Inc." - C:\WINDOWS\System32\drivers\BMLoad.sys "Bytemobile Kernel Network Provider" (tcpipBM) - "Bytemobile, Inc." - C:\WINDOWS\system32\drivers\tcpipBM.sys "Conexant Setup API" (UIUSys) - "Conexant Systems, Inc" - C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS "Microsoft UAA Function Driver for High Definition Audio Service" (HdAudAddService) - ? - C:\WINDOWS\System32\drivers\HdAudio.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Protokoll für ATM ARP-Client" (Atmarpc) - ? - C:\WINDOWS\System32\DRIVERS\atmarpc.sys (File not found) "roxer" (roxer) - ? - C:\WINDOWS\system32\drivers\roxer.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "Virtueller Bluetooth-Kommunikationstreiber" (BTDriver) - ? - C:\WINDOWS\System32\DRIVERS\btport.sys (File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0} "EPM-PO Shell Extensions" - "Acer Labs USA" - C:\WINDOWS\system32\epm-po.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10h.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {609D670F-B735-4da7-AC6D-F3BD358E325E} "Citavi Picker" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {609D670F-B735-4da7-AC6D-F3BD358E325E} "Asz.Citavi.IEPicker.IEPickerButton" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\islas\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized "swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "EOUApp" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" "EPM-DM" - "Acer Inc" - c:\acer\epm\epm-dm.exe "ePowerManagement" - "Acer Value Labs, Taiwan" - C:\Acer\ePM\ePM.exe boot "IntelWireless" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless "IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" "TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "UIExec" - ? - "C:\Programme\Ge org Internet Manager\UIExec.exe" (File found, but it contains no detailed information) [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll "PDF995 Monitor" - ? - C:\WINDOWS\system32\pdf995mon.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Canon Camera Access Library 8" (CCALib8) - "Canon Inc." - C:\Programme\Canon\CAL\CALMAIN.exe "Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe "Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe "Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "UI Assistant Service" (UI Assistant Service) - ? - C:\Programme\Ge org Internet Manager\AssistantServices.exe (File found, but it contains no detailed information) "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== und hier das ergebnis des MBRCheck: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000003c Kernel Drivers (total 126): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D1000 \WINDOWS\system32\hal.dll 0xF7ABE000 \WINDOWS\system32\KDCOM.DLL 0xF79CE000 \WINDOWS\system32\BOOTVID.dll 0xF743F000 ACPI.sys 0xF7AC0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF742E000 pci.sys 0xF75BE000 isapnp.sys 0xF736D000 gyhmiej.sys 0xF79D2000 compbatt.sys 0xF79D6000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF7B86000 pciide.sys 0xF783E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF734F000 pcmcia.sys 0xF75CE000 MountMgr.sys 0xF7330000 ftdisk.sys 0xF79DA000 ACPIEC.sys 0xF7B87000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF7846000 PartMgr.sys 0xF75DE000 VolSnap.sys 0xF7318000 atapi.sys 0xF75EE000 disk.sys 0xF75FE000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF72F8000 fltmgr.sys 0xF72E6000 sr.sys 0xF72CF000 KSecDD.sys 0xF7242000 Ntfs.sys 0xF7215000 NDIS.sys 0xF71FB000 Mup.sys 0xF784E000 BMLoad.sys 0xF778E000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF7090000 \SystemRoot\system32\DRIVERS\ialmnt5.sys 0xF707C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7054000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF7906000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF7030000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF790E000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF6D0A000 \SystemRoot\system32\DRIVERS\w29n51.sys 0xF7916000 \SystemRoot\system32\DRIVERS\RTL8139.SYS 0xF779E000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF791E000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF6CDB000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF7ADC000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7926000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF77AE000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF77BE000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF77CE000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF6C88000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7A72000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF7CD9000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF77DE000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7A76000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF6C71000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF77EE000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF77FE000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF792E000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF6C60000 \SystemRoot\system32\DRIVERS\psched.sys 0xF780E000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7936000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF793E000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF781E000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7ADE000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF5F1A000 \SystemRoot\system32\DRIVERS\update.sys 0xF7A8A000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF782E000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xAA3C0000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xAA39C000 \SystemRoot\system32\drivers\portcls.sys 0xF762E000 \SystemRoot\system32\drivers\drmk.sys 0xF763E000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF71C6000 \SystemRoot\System32\Drivers\i2omgmt.SYS 0xF7AE6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7C42000 \SystemRoot\System32\Drivers\Null.SYS 0xF7AE8000 \SystemRoot\System32\Drivers\Beep.SYS 0xF795E000 \SystemRoot\System32\drivers\vga.sys 0xF7AEA000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7AEC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF7966000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF796E000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF71BE000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xAA2A1000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xAA248000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF7976000 \SystemRoot\System32\Drivers\tcpipBM.SYS 0xAA220000 \SystemRoot\system32\DRIVERS\netbt.sys 0xAA1FE000 \SystemRoot\System32\drivers\afd.sys 0xF765E000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF797E000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xAA1D3000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xAA163000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF766E000 \SystemRoot\System32\Drivers\Fips.SYS 0xAA13D000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF767E000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xAA0F9000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7AF4000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF76CE000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF798E000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xAA0E1000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7B08000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xAA388000 \SystemRoot\System32\drivers\Dxapi.sys 0xF79AE000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7C96000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF020000 \SystemRoot\System32\ialmdnt5.dll 0xBF012000 \SystemRoot\System32\ialmrnt5.dll 0xBF041000 \SystemRoot\System32\ialmdev5.DLL 0xBF075000 \SystemRoot\System32\ialmdd5.DLL 0xAA0BD000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xA9F69000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF7866000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xA9F27000 \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys 0xA9F0D000 \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys 0xA9EF3000 \SystemRoot\system32\DRIVERS\ZTEusbmdm6k.sys 0xF786E000 \SystemRoot\System32\Drivers\Modem.SYS 0xF7886000 \SystemRoot\system32\DRIVERS\AegisP.sys 0xA9F7D000 \SystemRoot\system32\DRIVERS\s24trans.sys 0xA9FD1000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA9BF6000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xF7C77000 \??\C:\WINDOWS\system32\drivers\epm-psd.sys 0xA9B92000 \??\C:\WINDOWS\system32\drivers\epm-shd.sys 0xA9AC3000 \SystemRoot\system32\DRIVERS\srv.sys 0xA982E000 \SystemRoot\system32\drivers\wdmaud.sys 0xA9953000 \SystemRoot\system32\drivers\sysaudio.sys 0xA924D000 \SystemRoot\System32\Drivers\HTTP.sys 0xA8C58000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 51): 0 System Idle Process 4 System 576 C:\WINDOWS\system32\smss.exe 640 csrss.exe 664 C:\WINDOWS\system32\winlogon.exe 708 C:\WINDOWS\system32\services.exe 720 C:\WINDOWS\system32\lsass.exe 892 C:\WINDOWS\system32\svchost.exe 1032 svchost.exe 1072 C:\WINDOWS\system32\svchost.exe 1108 C:\Programme\Intel\Wireless\Bin\EvtEng.exe 1196 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe 1308 svchost.exe 1352 svchost.exe 1612 C:\WINDOWS\system32\spoolsv.exe 1660 C:\Programme\Avira\AntiVir Desktop\sched.exe 1704 svchost.exe 1760 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1828 C:\Programme\Java\jre6\bin\jqs.exe 1900 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe 1964 C:\WINDOWS\system32\svchost.exe 1992 C:\Programme\Ge org Internet Manager\AssistantServices.exe 1484 C:\WINDOWS\explorer.exe 284 C:\Programme\Canon\CAL\CALMAIN.exe 628 C:\WINDOWS\system32\igfxtray.exe 768 C:\WINDOWS\system32\hkcmd.exe 724 C:\WINDOWS\system32\igfxpers.exe 1144 C:\Programme\Synaptics\SynTP\SynTPLpr.exe 1328 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 1520 C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe 1556 C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe 1364 C:\Programme\Intel\Wireless\Bin\EOUWiz.exe 2072 C:\Acer\ePM\epm-dm.exe 2144 C:\WINDOWS\RTHDCPL.exe 2188 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2264 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 2296 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 2304 C:\Programme\Ge org Internet Manager\UIExec.exe 2328 C:\WINDOWS\system32\rundll32.exe 2452 C:\WINDOWS\system32\ctfmon.exe 2488 C:\Programme\Skype\Phone\Skype.exe 2600 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 2632 C:\Programme\Ge org Internet Manager\UIMain.exe 2720 alg.exe 3380 C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe 3644 C:\WINDOWS\system32\wuauclt.exe 3256 C:\Programme\Ge org Internet Manager\CMUpdater.exe 2956 C:\Programme\Skype\Plugin Manager\skypePM.exe 3752 C:\Programme\WinRAR\WinRAR.exe 3888 C:\Programme\Mozilla Firefox\firefox.exe 908 C:\Dokumente und Einstellungen\islas\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (FAT32) PhysicalDrive0 Model Number: WDCWD600UE-22HCT0, Rev: 09.07D09 PhysicalDrive1 Model Number: WDC WD2500BEVS-22VAT0, Rev: Size Device Name MBR Status -------------------------------------------- 55 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 232 GB \\.\PhysicalDrive1 RE: Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Done! wenn der TR/Crypt.ZPACK.Gen damit wirklich wegsein sollte - hat such damit auch der Trokaner auf der externen Festplatte irgendwie erledigt? (TR/Autorun.AJH bzw .INF.184) oder muss ich da nochwas extra machen? |
|
18.08.2010, 18:46
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Wir sind noch nicht fertig. Bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.08.2010, 20:49
| #10 |
| | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 hier der combo log: Combofix Logfile: Code:
ATTFilter ComboFix 10-08-17.04 - islas 18.08.2010 21:36:06.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.43.1031.18.1014.495 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\islas\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-18 bis 2010-08-18 ))))))))))))))))))))))))))))))
.
2010-08-18 17:01 . 2010-08-18 17:01 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Online Solutions
2010-08-18 09:11 . 2010-08-18 09:11 42944 ----a-w- c:\dokumente und einstellungen\islas\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-18 08:37 . 2010-08-18 18:56 -------- d-----w- c:\programme\CCleaner
2010-08-17 21:52 . 2010-08-17 21:52 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Malwarebytes
2010-08-17 21:51 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-17 21:51 . 2010-08-17 21:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-17 21:51 . 2010-08-17 21:51 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-17 21:51 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-17 15:54 . 2010-08-17 15:54 -------- d-----w- c:\windows\system32\XPSViewer
2010-08-17 15:53 . 2010-08-17 15:53 -------- d-----w- c:\programme\MSBuild
2010-08-17 15:53 . 2010-08-17 15:53 -------- d-----w- c:\programme\Reference Assemblies
2010-08-17 15:53 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-08-17 15:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-08-17 15:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2010-08-17 15:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2010-08-17 15:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2010-08-17 15:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-08-17 15:52 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-08-17 15:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2010-08-17 15:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2010-08-16 08:36 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-08-16 08:35 . 2010-06-24 12:21 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-08-16 08:30 . 2010-06-18 13:36 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-08-06 21:43 . 2008-04-13 22:10 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-08-06 21:43 . 2008-04-13 22:10 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-08-06 21:40 . 2010-08-06 21:40 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-08-06 21:40 . 2010-08-06 21:40 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-08-06 21:39 . 2008-04-13 22:11 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-08-06 21:39 . 2008-04-13 22:11 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-08-06 21:38 . 2008-04-13 22:11 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-08-06 21:38 . 2008-04-13 22:11 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-08-06 00:02 . 2010-08-18 19:31 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\vlc
2010-08-05 23:54 . 2010-08-05 23:54 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\MozillaControl
2010-08-05 23:52 . 2010-08-05 23:52 -------- d-----w- c:\programme\Mozilla ActiveX Control v1.7.12
2010-08-03 11:27 . 2010-08-03 11:27 503808 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-2e90c68d-n\msvcp71.dll
2010-08-03 11:27 . 2010-08-03 11:27 499712 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-2e90c68d-n\jmc.dll
2010-08-03 11:27 . 2010-08-03 11:27 348160 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-2e90c68d-n\msvcr71.dll
2010-08-03 11:27 . 2010-08-03 11:27 61440 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-302d205d-n\decora-sse.dll
2010-08-03 11:27 . 2010-08-03 11:27 12800 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-302d205d-n\decora-d3d.dll
2010-07-21 07:12 . 2010-07-21 07:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-18 19:37 . 2010-01-18 15:13 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Skype
2010-08-18 14:03 . 2010-01-18 15:15 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\skypePM
2010-08-17 16:10 . 2006-02-28 12:00 80928 ----a-w- c:\windows\system32\perfc007.dat
2010-08-17 16:10 . 2006-02-28 12:00 451970 ----a-w- c:\windows\system32\perfh007.dat
2010-08-06 21:35 . 2010-08-06 21:35 16 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\bawuho.dat
2010-07-23 09:32 . 2010-01-19 16:02 59 ----a-w- c:\windows\wpd99.drv
2010-07-23 09:32 . 2010-01-19 16:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\pdf995
2010-06-30 12:28 . 2006-02-28 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2006-02-28 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2006-02-28 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-23 07:06 . 2010-06-23 07:06 501936 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google\Google Toolbar\Update\gtb7.tmp.exe
2010-06-21 15:27 . 2006-02-28 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2006-02-28 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2009-12-22 10:16 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2006-02-28 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
2010-05-25 11:32 . 2010-05-25 11:32 503808 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-556aa3b7-n\msvcp71.dll
2010-05-25 11:32 . 2010-05-25 11:32 499712 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-556aa3b7-n\jmc.dll
2010-05-25 11:32 . 2010-05-25 11:32 348160 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-556aa3b7-n\msvcr71.dll
2010-05-25 11:32 . 2010-05-25 11:32 61440 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-39036d75-n\decora-sse.dll
2010-05-25 11:32 . 2010-05-25 11:32 12800 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-39036d75-n\decora-d3d.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-18 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-01-08 102491]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-01-08 692315]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-09-27 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-09-27 602182]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-09-27 569413]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-08-11 200704]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-17 15600128]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-01-20 198160]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-01-11 246504]
"UIExec"="c:\programme\Ge org Internet Manager\UIExec.exe" [2009-07-20 132608]
"VF0070 STISvc"="V0070Pin.dll" [2004-11-16 36864]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.12.2009 13:56 108289]
S0 roxer;roxer; [x]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 19:45 135664]
S2 UI Assistant Service;UI Assistant Service;c:\programme\Ge org Internet Manager\AssistantServices.exe [16.05.2010 22:29 241664]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [16.05.2010 22:29 9728]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - BMLoad
.
Inhalt des "geplante Tasks" Ordners
2010-08-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 17:45]
2010-08-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 17:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.at/
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: {CF4A6341-D1FD-4677-A048-14543E0A7338} = 213.162.69.170 213.162.65.2
FF - ProfilePath - c:\dokumente und einstellungen\islas\Anwendungsdaten\Mozilla\Firefox\Profiles\dfac3mju.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\programme\Canon\ZoomBrowser EX\Program\NPCIG.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-18 21:40
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3944)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-08-18 21:45:02
ComboFix-quarantined-files.txt 2010-08-18 19:44
Vor Suchlauf: 8 Verzeichnis(se), 39.675.990.016 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 40.134.471.680 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 949463BDD243196D6EB4CDDE439DFF18
ich habe meine externe festplatte nach wie vor angesteckt, hoffe das ist ok so... |
|
19.08.2010, 08:04
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Driver::
roxer
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.08.2010, 09:05
| #12 |
| | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 hier das neue combo log: Combofix Logfile: Code:
ATTFilter ComboFix 10-08-17.04 - islas 19.08.2010 9:46.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.43.1031.18.1014.528 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\islas\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\islas\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_roxer
((((((((((((((((((((((( Dateien erstellt von 2010-07-19 bis 2010-08-19 ))))))))))))))))))))))))))))))
.
2010-08-18 19:32 . 2010-08-18 19:45 -------- d-----w- C:\cofi
2010-08-18 17:01 . 2010-08-18 17:01 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Online Solutions
2010-08-18 09:11 . 2010-08-18 09:11 42944 ----a-w- c:\dokumente und einstellungen\islas\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-18 08:37 . 2010-08-18 18:56 -------- d-----w- c:\programme\CCleaner
2010-08-17 21:52 . 2010-08-17 21:52 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Malwarebytes
2010-08-17 21:51 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-17 21:51 . 2010-08-17 21:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-17 21:51 . 2010-08-17 21:51 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-17 21:51 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-17 15:54 . 2010-08-17 15:54 -------- d-----w- c:\windows\system32\XPSViewer
2010-08-17 15:53 . 2010-08-17 15:53 -------- d-----w- c:\programme\MSBuild
2010-08-17 15:53 . 2010-08-17 15:53 -------- d-----w- c:\programme\Reference Assemblies
2010-08-17 15:53 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-08-17 15:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-08-17 15:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2010-08-17 15:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2010-08-17 15:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2010-08-17 15:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-08-17 15:52 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-08-17 15:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2010-08-17 15:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2010-08-16 08:36 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-08-16 08:35 . 2010-06-24 12:21 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-08-16 08:30 . 2010-06-18 13:36 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-08-06 21:43 . 2008-04-13 22:10 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-08-06 21:43 . 2008-04-13 22:10 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-08-06 21:40 . 2010-08-06 21:40 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-08-06 21:40 . 2010-08-06 21:40 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-08-06 21:39 . 2008-04-13 22:11 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-08-06 21:39 . 2008-04-13 22:11 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-08-06 21:38 . 2008-04-13 22:11 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-08-06 21:38 . 2008-04-13 22:11 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-08-06 00:02 . 2010-08-18 20:51 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\vlc
2010-08-05 23:54 . 2010-08-05 23:54 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\MozillaControl
2010-08-05 23:52 . 2010-08-05 23:52 -------- d-----w- c:\programme\Mozilla ActiveX Control v1.7.12
2010-08-03 11:27 . 2010-08-03 11:27 503808 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-2e90c68d-n\msvcp71.dll
2010-08-03 11:27 . 2010-08-03 11:27 499712 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-2e90c68d-n\jmc.dll
2010-08-03 11:27 . 2010-08-03 11:27 348160 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-2e90c68d-n\msvcr71.dll
2010-08-03 11:27 . 2010-08-03 11:27 61440 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-302d205d-n\decora-sse.dll
2010-08-03 11:27 . 2010-08-03 11:27 12800 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-302d205d-n\decora-d3d.dll
2010-07-21 07:12 . 2010-07-21 07:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-19 07:56 . 2010-01-18 15:13 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Skype
2010-08-19 07:12 . 2010-01-18 15:15 -------- d-----w- c:\dokumente und einstellungen\islas\Anwendungsdaten\skypePM
2010-08-17 16:10 . 2006-02-28 12:00 80928 ----a-w- c:\windows\system32\perfc007.dat
2010-08-17 16:10 . 2006-02-28 12:00 451970 ----a-w- c:\windows\system32\perfh007.dat
2010-08-06 21:35 . 2010-08-06 21:35 16 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\bawuho.dat
2010-07-23 09:32 . 2010-01-19 16:02 59 ----a-w- c:\windows\wpd99.drv
2010-07-23 09:32 . 2010-01-19 16:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\pdf995
2010-06-30 12:28 . 2006-02-28 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2006-02-28 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2006-02-28 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-23 07:06 . 2010-06-23 07:06 501936 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google\Google Toolbar\Update\gtb7.tmp.exe
2010-06-21 15:27 . 2006-02-28 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2006-02-28 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2009-12-22 10:16 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2006-02-28 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
2010-05-25 11:32 . 2010-05-25 11:32 503808 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-556aa3b7-n\msvcp71.dll
2010-05-25 11:32 . 2010-05-25 11:32 499712 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-556aa3b7-n\jmc.dll
2010-05-25 11:32 . 2010-05-25 11:32 348160 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-556aa3b7-n\msvcr71.dll
2010-05-25 11:32 . 2010-05-25 11:32 61440 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-39036d75-n\decora-sse.dll
2010-05-25 11:32 . 2010-05-25 11:32 12800 ----a-w- c:\dokumente und einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-39036d75-n\decora-d3d.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-18 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-01-08 102491]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-01-08 692315]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-09-27 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-09-27 602182]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-09-27 569413]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-08-11 200704]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-17 15600128]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-01-20 198160]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-01-11 246504]
"UIExec"="c:\programme\Ge org Internet Manager\UIExec.exe" [2009-07-20 132608]
"VF0070 STISvc"="V0070Pin.dll" [2004-11-16 36864]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.12.2009 13:56 108289]
R2 UI Assistant Service;UI Assistant Service;c:\programme\Ge org Internet Manager\AssistantServices.exe [16.05.2010 22:29 241664]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 19:45 135664]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [16.05.2010 22:29 9728]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - BMLoad
.
Inhalt des "geplante Tasks" Ordners
2010-08-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 17:45]
2010-08-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 17:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.at/
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\islas\Anwendungsdaten\Mozilla\Firefox\Profiles\dfac3mju.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\programme\Canon\ZoomBrowser EX\Program\NPCIG.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-19 09:54
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3180)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\RunDLL32.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-19 09:59:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-08-19 07:59
ComboFix2.txt 2010-08-18 19:45
Vor Suchlauf: 11 Verzeichnis(se), 40.090.554.368 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 40.016.310.272 Bytes frei
- - End Of File - - 68F7FEBA647F55D5457B32B267329772
ich weiß nicht, ob das relevant ist, aber der PC hat automatisch neugestartet, ich musste nichts bestätigen; und nach dem Neustart war Avira wieder aktiviert obwohl ich es zuvor deaktiviert hatte, ausserdem hat sich mein mobiles Internet - wie immer - selbst gestartet (weiß nicht ob das Combofix irgendwie beeinträchtigen kann, nur weil stand, dass man keine Programme neustarten soll..). Ad- oder Spywareprogramme hab ich - glaub ich zumindest - keine, hab in den Programmen gesucht aber nichts gefunden.. |
|
19.08.2010, 09:16
| #13 |
| | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 PS: Irgendwas scheint bei meinem Skype Programm jetzt falsch zu laufen, bekomme immer eine Fehlermeldung beim Neustart,"unexpected ending, 'font' expected but actual 'b'" oder so ähnlich. kann das was mit dem Virus oder der Bereinigung zu tun haben oder kann ich's einfach irgnorieren? |
|
19.08.2010, 10:29
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 Starte Windows einfach nochmal neu. Danach bräuchte ich nochmal ein neues Logfiles von GMER
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.08.2010, 11:57
| #15 |
| | TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 das aktuelle GMER Logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.14966 - hxxp://www.gmer.net
Rootkit scan 2010-08-19 12:50:08
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT F7CB58E6 ZwCreateKey
SSDT F7CB58DC ZwCreateThread
SSDT F7CB58EB ZwDeleteKey
SSDT F7CB58F5 ZwDeleteValueKey
SSDT F7CB58FA ZwLoadKey
SSDT F7CB58C8 ZwOpenProcess
SSDT F7CB58CD ZwOpenThread
SSDT F7CB5904 ZwReplaceKey
SSDT F7CB58FF ZwRestoreKey
SSDT F7CB58F0 ZwSetValueKey
SSDT F7CB58D7 ZwTerminateProcess
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F784EFE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F784EFE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
komischerweise kann ich immer noch nicht über WLAN verbinden, nur über mein mobiles Internet - kann das noch immer was mit dem Virus zu tun haben?? Oder hab' ich da einfach ein anderes Problem, das zufällig zeitlgleich mit dem Virus aufgetreten ist? hmmmm... ich hab grad Avira nochmal drüberlaufen lassen (hoffe das war jetzt kein Fehler, hab mir erst danach gedacht dass das uU keine gute Idee sein könnte, wg In-Quarantäne-Verschieben) - und das findet immer noch was... : C:\System Volume Information\_restore{140199D2-66B9-4293-8A02-7239559D04C1}\RP97\A0030389.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9d36de.qua' verschoben! ... und jetzt wird meine externe Festplatte nicht mehr erkannt..... hat vorhin noch funktioniert... was soll ich denn jetzt machen? |
|
| Themen zu TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184 |
| .com, 0 bytes, 0x00000001, 0xc0000001, antivir, avgntflt.sys, bho, canon, components, desktop, erste mal, festplatte, firefox.exe, flash player, google, hdaudio.sys, hilfe!!, home, iexplore.exe, install.exe, jusched.exe, location, logfile, microsoft office word, nicht gefunden, nt.dll, object, oldtimer, otl logfile, otl-scan, otl.exe, plug-in, proxy, quelldatei, realtek, registry, rojaner gefunden, saver, scan, searchplugins, security, security tools, server, shell32.dll, shortcut, skype.exe, software, svchost.exe, system, trojaner, trojaner gefunden, uiexec.exe, versteckte objekte, verweise, virus, virus gefunden, vlc media player, windows, windows internet, windows internet explorer, wuauclt.exe |
Linear-Darstellung
