|
Plagegeister aller Art und deren Bekämpfung: Backdoor.Tidserv in ftdisk.sikWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.09.2010, 20:42 | #1 |
| Backdoor.Tidserv in ftdisk.sik Hallo Community, mein Norton Internet Security zeigt mir an, dass in der Datei ftdisk.sik (C:/WINDOWS/system32/drivers/ftdisk.sik) das RootKit Backdoor.Tidserv liegt. Ich krieg's auch nicht weg. Norton meint per Hand entfernen, Norton-Tools finden nix, weil sich der Virus anscheinend sehr, sehr gut tarnt, soviel ich gelesen habe. Hoffe ihr könnt mir helfen!! EDIT: Hier noch HijackThis und Malwarebytes-Logs! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 21:40:11, on 15.09.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\Drivers\WTSRV.EXE C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\SyncroSoft\Pos\H2O\cledx.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\RocketDock\RocketDock.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\IPSBHO.DLL O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164535483125 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE -- End of file - 7678 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4623 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 15.09.2010 21:57:04 mbam-log-2010-09-15 (21-57-04).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 177643 Laufzeit: 5 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\gpupdate.dat (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\usernt.dat (Malware.Trace) -> No action taken. C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken. Geändert von Cy-Music (15.09.2010 um 21:02 Uhr) |
16.09.2010, 10:17 | #2 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik bitte erstelle und poste ein combofix log.
__________________Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
16.09.2010, 16:24 | #3 |
| Backdoor.Tidserv in ftdisk.sik Hallo markusg,
__________________schonmal danke für die Antwort! CF meinte kurz nach Scanbeginn er hätte RootKitAktivitäten festgestellt und müsste neustarten. Nach Klick auf OK, passierte aber nichts mehr, keine Festplattenaktivität, garnichts. Hab also manuell über den Power-Knopf am Rechner neu gestartet. Hoffe, das hat jetzt nichts verfälscht oder so. Jedenfalls hier das Log: Code:
ATTFilter ComboFix 10-09-15.02 - Daniel Baumann 16.09.2010 17:09:13.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C} AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8} FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\1.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\a.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\b.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\c.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\d.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\e.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\f.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\g.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\h.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\i.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\J.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\k.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\l.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\m.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\mru.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\n.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\o.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\p.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\q.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\r.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\s.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\t.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\u.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\v.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\w.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\x.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\y.xml c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\z.xml c:\windows\daemon.dll c:\windows\jestertb.dll c:\windows\system32\encapi32.dll c:\windows\system32\lsprst7.dll c:\windows\system32\msvcsv60.dll c:\windows\system32\ssprs.dll . ((((((((((((((((((((((( Dateien erstellt von 2010-08-16 bis 2010-09-16 )))))))))))))))))))))))))))))) . 2010-09-15 22:33 . 2010-09-15 22:36 -------- d-----w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE 2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes 2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2010-09-15 19:48 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-15 19:48 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-15 19:10 . 2010-09-15 19:10 161296 ----a-w- c:\windows\system32\drivers\tmcomm.sys 2010-09-11 10:35 . 2010-09-11 10:35 388096 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2010-09-05 15:10 . 2010-09-05 15:10 503808 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll 2010-09-05 15:10 . 2010-09-05 15:10 499712 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll 2010-09-05 15:10 . 2010-09-05 15:10 348160 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll 2010-09-05 15:10 . 2010-09-05 15:10 61440 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll 2010-09-05 15:10 . 2010-09-05 15:10 12800 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll 2010-09-05 11:02 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-09-05 10:56 . 2010-09-05 10:56 -------- d-----w- c:\programme\Defraggler 2010-09-05 10:55 . 2010-09-05 10:55 -------- d-----w- c:\programme\Microsoft.NET 2010-09-05 10:46 . 2010-07-20 13:05 81920 ----a-w- c:\windows\system32\igfxCoIn_v5284.dll 2010-09-05 09:41 . 2010-09-05 09:41 -------- d-----w- c:\programme\NT Registry Optimizer 2010-09-05 08:35 . 2010-07-29 03:33 666672 ----a-r- c:\windows\system32\drivers\SymEFA.sys 2010-09-05 08:35 . 2010-07-29 02:54 50096 ----a-r- c:\windows\system32\drivers\srtspx.sys 2010-09-05 08:35 . 2010-07-13 01:20 369072 ----a-r- c:\windows\system32\drivers\symtdi.sys 2010-09-05 08:35 . 2010-06-27 04:05 134704 ----a-r- c:\windows\system32\drivers\Ironx86.sys 2010-09-05 08:35 . 2010-06-13 10:50 339504 ----a-r- c:\windows\system32\drivers\SymDS.sys 2010-09-05 07:58 . 2010-09-05 08:35 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL 2010-09-05 07:58 . 2010-09-05 08:35 126512 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS 2010-09-05 07:58 . 2010-09-05 08:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2010-09-05 07:58 . 2010-09-05 08:38 -------- d-----w- c:\windows\system32\drivers\NIS 2010-09-05 07:58 . 2010-09-05 08:43 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton 2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Norton Internet Security 2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Windows Sidebar 2010-09-05 07:54 . 2010-09-05 07:54 -------- d-----w- c:\programme\NortonInstaller 2010-09-05 03:09 . 2010-09-05 04:18 -------- d-----w- C:\NBRT 2010-09-04 18:21 . 2010-09-05 07:57 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller 2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\windows\system32\wbem\Repository 2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2010-09-04 15:37 . 2010-09-04 15:40 -------- d-s---w- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2010-09-04 15:27 . 2010-09-04 15:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\IETldCache 2010-09-04 15:15 . 2010-09-04 15:15 -------- d-----w- c:\dokumente und einstellungen\xxx\PrivacIE . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-16 14:42 . 2008-02-01 15:33 -------- d-----w- c:\programme\Mozilla Thunderbird 2010-09-15 22:28 . 2006-11-26 17:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy 2010-09-15 19:18 . 2009-12-17 18:41 -------- d-----w- c:\programme\SystemRequirementsLab 2010-09-15 17:25 . 2008-02-01 14:30 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla 2010-09-15 17:20 . 2009-06-03 12:01 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype 2010-09-15 17:20 . 2008-08-18 20:06 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM 2010-09-14 23:11 . 2009-09-20 18:50 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc 2010-09-13 15:57 . 2007-12-05 20:13 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp 2010-09-13 15:53 . 2007-03-12 18:01 -------- d-----w- c:\programme\Winamp 2010-09-13 15:53 . 2010-03-25 18:05 -------- d-----w- c:\programme\Winamp Detect 2010-09-11 15:46 . 2010-07-04 15:31 -------- d-----w- c:\programme\ICQ7.1 2010-09-11 10:30 . 2008-09-15 17:34 -------- d-----w- c:\programme\KONAMI 2010-09-11 09:46 . 2010-05-06 21:58 16 ----a-w- c:\windows\msocreg32.dat 2010-09-08 17:47 . 2005-01-07 18:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-09-08 17:25 . 2010-07-06 21:49 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe 2010-09-05 20:01 . 2004-08-04 12:00 126336 ----a-w- c:\windows\system32\drivers\ftdisk.sik 2010-09-05 11:15 . 2007-01-03 14:15 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic 2010-09-05 11:02 . 2006-11-03 12:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-09-05 11:02 . 2004-11-18 14:17 -------- d-----w- c:\programme\Java 2010-09-05 10:58 . 2004-08-04 12:00 94746 ----a-w- c:\windows\system32\perfc007.dat 2010-09-05 10:58 . 2004-08-04 12:00 502424 ----a-w- c:\windows\system32\perfh007.dat 2010-09-05 10:46 . 2009-09-23 15:34 -------- d-----w- c:\programme\CCleaner 2010-09-05 08:35 . 2010-09-05 07:58 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF 2010-09-05 08:35 . 2010-09-05 07:58 7456 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT 2010-09-05 08:35 . 2004-11-18 14:14 -------- d-----w- c:\programme\Symantec 2010-09-05 08:27 . 2010-07-25 20:49 1324 ----a-w- c:\windows\system32\d3d9caps.dat 2010-09-04 16:49 . 2009-06-03 12:00 -------- d-----r- c:\programme\Skype 2010-09-04 16:49 . 2006-12-29 19:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype 2010-09-04 16:48 . 2008-12-04 16:18 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss 2010-09-01 17:50 . 2010-05-26 15:00 87 ----a-w- c:\windows\system32\ssprs.tgz.vir 2010-09-01 17:50 . 2010-05-26 15:00 73 ----a-w- c:\windows\system32\ssprs.dll.vir 2010-09-01 17:50 . 2010-05-26 15:00 219 ----a-w- c:\windows\system32\lsprst7.tgz.vir 2010-09-01 17:50 . 2010-05-26 15:00 205 ----a-w- c:\windows\system32\lsprst7.dll.vir 2010-08-23 18:18 . 2010-01-16 15:54 -------- d-----w- c:\programme\PokerStars 2010-08-22 14:15 . 2007-04-19 12:47 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ 2010-08-17 13:17 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-08-07 18:20 . 2010-08-07 18:20 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers 2010-08-07 18:20 . 2010-05-15 15:48 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2010-08-07 18:20 . 2009-07-29 19:48 -------- d-----w- c:\programme\DVDVideoSoft 2010-08-03 21:08 . 2009-07-20 20:19 -------- d-----w- c:\programme\TrackMania Nations ESWC 2010-08-03 20:29 . 2010-06-21 21:19 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon 2010-08-03 20:26 . 2006-11-30 19:36 70880 -c--a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-07-31 17:01 . 2008-11-06 23:31 1 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-07-31 16:31 . 2008-06-07 22:36 -------- d-----w- c:\programme\phase5 2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares 2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\programme\Antares Audio Technologies 2010-07-24 15:24 . 2006-11-06 18:56 -------- d-----w- c:\programme\VstPlugins 2010-07-23 23:47 . 2008-02-01 14:30 -------- d-----w- c:\programme\FileZilla FTP Client 2010-07-22 15:48 . 2004-08-04 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll 2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-07-20 12:58 . 2009-07-13 12:44 4123648 ----a-w- c:\windows\system32\igxpdx32.dll 2010-07-20 12:57 . 2009-07-13 12:44 3482432 ----a-w- c:\windows\system32\igxpdv32.dll 2010-07-20 12:57 . 2009-07-13 12:44 2003584 ----a-w- c:\windows\system32\drivers\igxpmp32.sys 2010-07-20 12:57 . 2009-07-13 12:44 982240 ----a-w- c:\windows\system32\igkrng500.bin 2010-07-20 12:57 . 2009-07-13 12:44 58368 ----a-w- c:\windows\system32\igxprd32.dll 2010-07-20 12:57 . 2009-07-13 12:44 439308 ----a-w- c:\windows\system32\igcompkrng500.bin 2010-07-20 12:57 . 2009-07-13 12:44 182784 ----a-w- c:\windows\system32\igxpgd32.dll 2010-07-20 12:45 . 2009-07-13 12:44 10963456 ----a-w- c:\windows\system32\ig4icd32.dll 2010-07-20 12:37 . 2009-07-13 12:44 129536 ----a-w- c:\windows\system32\igfxtray.exe 2010-07-20 12:37 . 2009-07-13 12:44 194048 ----a-w- c:\windows\system32\igfxpph.dll 2010-07-20 12:36 . 2009-07-13 12:44 163328 ----a-w- c:\windows\system32\hkcmd.exe 2010-07-20 12:36 . 2009-07-13 12:44 138752 ----a-w- c:\windows\system32\igfxpers.exe 2010-07-20 12:36 . 2009-07-13 12:44 23552 ----a-w- c:\windows\system32\igfxexps.dll 2010-07-20 12:36 . 2009-07-13 12:44 172032 ----a-w- c:\windows\system32\igfxext.exe 2010-07-20 12:36 . 2009-07-13 12:44 130048 ----a-w- c:\windows\system32\igfxdo.dll 2010-07-20 12:36 . 2009-07-13 12:44 57344 ----a-w- c:\windows\system32\igfxsrvc.dll 2010-07-20 12:36 . 2009-07-13 12:44 257536 ----a-w- c:\windows\system32\igfxsrvc.exe 2010-07-20 12:36 . 2009-12-17 18:45 3139584 ----a-w- c:\windows\system32\GfxUI.exe 2010-07-20 12:36 . 2009-07-13 12:44 94720 ----a-w- c:\windows\system32\hccutils.dll 2010-07-20 12:36 . 2009-12-17 18:45 121344 ----a-w- c:\windows\system32\gfxSrvc.dll 2010-07-20 12:36 . 2009-12-17 18:45 4096 ----a-w- c:\windows\system32\IGFXDEVLib.dll 2010-07-20 12:36 . 2009-07-13 12:44 214016 ----a-w- c:\windows\system32\igfxdev.dll 2010-07-20 12:35 . 2009-07-13 12:44 828928 ----a-w- c:\windows\system32\igfxress.dll 2010-07-06 21:31 . 2010-07-06 21:31 10134 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe 2010-07-06 21:28 . 2010-07-06 21:28 38784 ----a-w- c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe 2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\windows\system32\schannel.dll 2010-06-26 16:12 . 2010-06-26 16:12 2568656 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe 2010-06-24 12:22 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys 2010-06-21 15:27 . 2004-08-04 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys 2010-06-18 17:44 . 2004-08-04 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll 2009-12-27 18:45 . 2009-12-27 18:45 561 ----a-w- c:\programme\StandaloneRecallCCAssign.f8c 2009-12-27 18:45 . 2009-12-27 18:45 1072 ----a-w- c:\programme\StandaloneRecall.fm8 2001-11-05 07:30 . 2009-02-28 13:54 165376 ------w- c:\programme\UNWISE.EXE 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll 2007-05-13 21:08 . 2007-05-13 21:08 5 -csha-w- c:\windows\system32\bcadadfeee_d.dll 2007-05-13 21:06 . 2007-05-13 21:06 5 -csha-w- c:\windows\system32\bcadadfeee_s.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280] "H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952] "IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328] "Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoStrCmpLogical"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MaxRecentDocs"= 11 (0xb) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "LexBceS"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "HotKeysCmds"=c:\windows\system32\hkcmd.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\ICQ7.1\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704] R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504] R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672] R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272] R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704] R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904] R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792] R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448] R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640] R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360] S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664] S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728] S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208] S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024] S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744] S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864] S3 SampleScanner;Ultima2000 Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416] . Inhalt des "geplante Tasks" Ordners 2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08] 2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52] 2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de uInternet Settings,ProxyOverride = *.local uSearchAssistant = hxxp://www.google.com/ie IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\baumann\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms} FF - prefs.js: browser.startup.homepage - hxxp://www.google.de FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q= FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-connections-per-server - 8 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: nglayout.initialpaint.delay - 300 FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.switch.threshold - 650000 c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . . ------- Dateityp-Verknüpfung ------- . .txt= . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-16 17:13 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A56B088]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28 \Driver\ACPI -> ACPI.sys @ 0xb977ecb8 \Driver\atapi -> 0x8a56b088 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0 PacketIndicateHandler -> NDIS.sys @ 0xb953ca21 SendHandler -> NDIS.sys @ 0xb951a87b Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS] "ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d, 6b,69,00,06 "habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63, 68,6a,00,4d [HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36, 7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\ "??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d [HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell] @DACL=(02 0000) @="Open" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . Zeit der Fertigstellung: 2010-09-16 17:15:05 ComboFix-quarantined-files.txt 2010-09-16 15:15 Vor Suchlauf: 18 Verzeichnis(se), 135.330.201.600 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 135.305.781.248 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /tutag=ggmcvz - - End Of File - - 147075EF6FAB4E6A16ACB8A84B8D1627 |
16.09.2010, 16:32 | #4 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik |
16.09.2010, 16:48 | #5 |
| Backdoor.Tidserv in ftdisk.sik Nachdem Defogger mit Disable fertig war und auf Finished geklickt hab, wurde kein Neustart durchgeführt. Hab dann disabled gelassen und Kaspersky scannen lassen. Dieser wiederum hat nichts gefunden. Der Defogger ist immer noch disabled, soll ich warten bis du das OK zum Re-Enable gibst? Gruß Defogger-Log: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1) Log created at 17:42 on 16/09/2010 (Name) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... SPTD -> Already disabled -=E.O.F=- Code:
ATTFilter 2010/09/16 17:44:05.0062 TDSS rootkit removing tool 2.4.2.1 Sep 7 2010 14:43:44 2010/09/16 17:44:05.0062 ================================================================================ 2010/09/16 17:44:05.0062 SystemInfo: 2010/09/16 17:44:05.0062 2010/09/16 17:44:05.0062 OS Version: 5.1.2600 ServicePack: 3.0 2010/09/16 17:44:05.0062 Product type: Workstation 2010/09/16 17:44:05.0062 ComputerName: xxx 2010/09/16 17:44:05.0062 UserName: xxx 2010/09/16 17:44:05.0062 Windows directory: C:\WINDOWS 2010/09/16 17:44:05.0062 System windows directory: C:\WINDOWS 2010/09/16 17:44:05.0062 Processor architecture: Intel x86 2010/09/16 17:44:05.0062 Number of processors: 2 2010/09/16 17:44:05.0062 Page size: 0x1000 2010/09/16 17:44:05.0062 Boot type: Normal boot 2010/09/16 17:44:05.0062 ================================================================================ 2010/09/16 17:44:05.0437 Initialize success 2010/09/16 17:44:10.0906 ================================================================================ 2010/09/16 17:44:10.0906 Scan started 2010/09/16 17:44:10.0906 Mode: Manual; 2010/09/16 17:44:10.0906 ================================================================================ 2010/09/16 17:44:11.0390 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys 2010/09/16 17:44:11.0406 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys 2010/09/16 17:44:11.0453 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys 2010/09/16 17:44:11.0484 Afc (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys 2010/09/16 17:44:11.0515 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys 2010/09/16 17:44:11.0593 ALCXSENS (a9355a51698f6901b362ef738b15631d) C:\WINDOWS\system32\drivers\ALCXSENS.SYS 2010/09/16 17:44:11.0609 ALCXWDM (b191753b1aa2e7b11a18d5fde8248aa2) C:\WINDOWS\system32\drivers\ALCXWDM.SYS 2010/09/16 17:44:11.0718 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys 2010/09/16 17:44:11.0750 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys 2010/09/16 17:44:11.0781 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys 2010/09/16 17:44:11.0796 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys 2010/09/16 17:44:11.0812 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys 2010/09/16 17:44:11.0953 BHDrvx86 (5138da8715da5f9823b753b6cb36a9a9) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys 2010/09/16 17:44:12.0031 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys 2010/09/16 17:44:12.0062 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys 2010/09/16 17:44:12.0078 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys 2010/09/16 17:44:12.0125 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys 2010/09/16 17:44:12.0171 CLEDX (b53f9635457b56dcffef750e18aec6cb) C:\WINDOWS\system32\DRIVERS\cledx.sys 2010/09/16 17:44:12.0265 cpudrv (d01f685f8b4598d144b0cce9ff95d8d5) C:\Programme\SystemRequirementsLab\cpudrv.sys 2010/09/16 17:44:12.0328 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys 2010/09/16 17:44:12.0359 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys 2010/09/16 17:44:12.0390 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys 2010/09/16 17:44:12.0421 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys 2010/09/16 17:44:12.0437 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys 2010/09/16 17:44:12.0468 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys 2010/09/16 17:44:12.0531 eeCtrl (089296aedb9b72b4916ac959752bdc89) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys 2010/09/16 17:44:12.0562 EraserUtilRebootDrv (850259334652d392e33ee3412562e583) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys 2010/09/16 17:44:12.0593 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys 2010/09/16 17:44:12.0609 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys 2010/09/16 17:44:12.0640 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys 2010/09/16 17:44:12.0671 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys 2010/09/16 17:44:12.0718 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys 2010/09/16 17:44:12.0734 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys 2010/09/16 17:44:12.0781 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys 2010/09/16 17:44:12.0812 ggflt (007aea2e06e7cef7372e40c277163959) C:\WINDOWS\system32\DRIVERS\ggflt.sys 2010/09/16 17:44:12.0843 ggsemc (c73de35960ca75c5ab4ae636b127c64e) C:\WINDOWS\system32\DRIVERS\ggsemc.sys 2010/09/16 17:44:12.0875 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys 2010/09/16 17:44:12.0906 hamachi (7929a161f9951d173ca9900fe7067391) C:\WINDOWS\system32\DRIVERS\hamachi.sys 2010/09/16 17:44:12.0921 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys 2010/09/16 17:44:12.0937 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys 2010/09/16 17:44:13.0000 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys 2010/09/16 17:44:13.0062 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys 2010/09/16 17:44:13.0109 ialm (7df53bb1f78de5dca8ac842868d34b01) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys 2010/09/16 17:44:13.0250 IDSxpx86 (231c3f6d5c520e99924e1e37401a90c4) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSxpx86.sys 2010/09/16 17:44:13.0296 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys 2010/09/16 17:44:13.0406 IntcAzAudAddService (662b65eeb8d070bd1162a7b63859afcf) C:\WINDOWS\system32\drivers\RtkHDAud.sys 2010/09/16 17:44:13.0453 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys 2010/09/16 17:44:13.0500 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys 2010/09/16 17:44:13.0515 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys 2010/09/16 17:44:13.0531 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys 2010/09/16 17:44:13.0546 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys 2010/09/16 17:44:13.0578 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys 2010/09/16 17:44:13.0609 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys 2010/09/16 17:44:13.0640 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys 2010/09/16 17:44:13.0671 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys 2010/09/16 17:44:13.0687 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys 2010/09/16 17:44:13.0703 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys 2010/09/16 17:44:13.0750 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys 2010/09/16 17:44:13.0812 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys 2010/09/16 17:44:13.0828 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys 2010/09/16 17:44:13.0843 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys 2010/09/16 17:44:13.0875 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys 2010/09/16 17:44:13.0890 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys 2010/09/16 17:44:13.0937 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys 2010/09/16 17:44:14.0000 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 2010/09/16 17:44:14.0031 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys 2010/09/16 17:44:14.0046 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys 2010/09/16 17:44:14.0062 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys 2010/09/16 17:44:14.0078 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys 2010/09/16 17:44:14.0093 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys 2010/09/16 17:44:14.0125 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys 2010/09/16 17:44:14.0234 NAVENG (0953bb24c1e70a99c315f44f15993c17) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVENG.SYS 2010/09/16 17:44:14.0281 NAVEX15 (3ddb0bef60b65df6b110c23e17cd67dc) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVEX15.SYS 2010/09/16 17:44:14.0312 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys 2010/09/16 17:44:14.0328 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys 2010/09/16 17:44:14.0343 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys 2010/09/16 17:44:14.0359 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys 2010/09/16 17:44:14.0375 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys 2010/09/16 17:44:14.0406 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys 2010/09/16 17:44:14.0453 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys 2010/09/16 17:44:14.0500 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys 2010/09/16 17:44:14.0531 Nsynas32 (4b4a21e158c039ee0888741bfe1d24e0) C:\WINDOWS\system32\drivers\Nsynas32.sys 2010/09/16 17:44:14.0562 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys 2010/09/16 17:44:14.0578 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys 2010/09/16 17:44:14.0609 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys 2010/09/16 17:44:14.0640 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys 2010/09/16 17:44:14.0656 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys 2010/09/16 17:44:14.0671 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys 2010/09/16 17:44:14.0718 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys 2010/09/16 17:44:14.0750 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys 2010/09/16 17:44:14.0781 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys 2010/09/16 17:44:14.0812 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys 2010/09/16 17:44:14.0906 pfc (444f122e68db44c0589227781f3c8b3f) C:\WINDOWS\system32\drivers\pfc.sys 2010/09/16 17:44:14.0937 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys 2010/09/16 17:44:14.0953 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys 2010/09/16 17:44:14.0984 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys 2010/09/16 17:44:15.0015 PxHelp20 (40fedd328f98245ad201cf5f9f311724) C:\WINDOWS\system32\Drivers\PxHelp20.sys 2010/09/16 17:44:15.0093 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys 2010/09/16 17:44:15.0093 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 2010/09/16 17:44:15.0125 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys 2010/09/16 17:44:15.0125 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys 2010/09/16 17:44:15.0187 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys 2010/09/16 17:44:15.0203 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys 2010/09/16 17:44:15.0234 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys 2010/09/16 17:44:15.0265 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys 2010/09/16 17:44:15.0328 RTLE8023xp (185641ad7e80bfce0aa545d3ec79d557) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys 2010/09/16 17:44:15.0359 s1018bus (1c5c2cb892553d2cf3f45a4bb323fcd6) C:\WINDOWS\system32\DRIVERS\s1018bus.sys 2010/09/16 17:44:15.0375 s1018mdfl (38f5ea219593f19b6b3a1b9c169e3b61) C:\WINDOWS\system32\DRIVERS\s1018mdfl.sys 2010/09/16 17:44:15.0406 s1018mdm (666af6b64fc7df92d3ca4819ea91631d) C:\WINDOWS\system32\DRIVERS\s1018mdm.sys 2010/09/16 17:44:15.0421 s1018mgmt (f4ceda6e2ddff2af8bd745615a7ca9c0) C:\WINDOWS\system32\DRIVERS\s1018mgmt.sys 2010/09/16 17:44:15.0453 s1018nd5 (3622d9ff2253dcbe885b10736609a4ca) C:\WINDOWS\system32\DRIVERS\s1018nd5.sys 2010/09/16 17:44:15.0468 s1018obex (49431efda842b474531c29ffae9f5d09) C:\WINDOWS\system32\DRIVERS\s1018obex.sys 2010/09/16 17:44:15.0484 s1018unic (ac6b514cb4474f4c867d7cdc9cd54f05) C:\WINDOWS\system32\DRIVERS\s1018unic.sys 2010/09/16 17:44:15.0531 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys 2010/09/16 17:44:15.0546 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys 2010/09/16 17:44:15.0578 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys 2010/09/16 17:44:15.0625 sfdrv01 (4c0d673281178cb496011a2e28571fc8) C:\WINDOWS\system32\drivers\sfdrv01.sys 2010/09/16 17:44:15.0640 sfhlp02 (15be2b5e4dc5b8623cf167720682abc9) C:\WINDOWS\system32\drivers\sfhlp02.sys 2010/09/16 17:44:15.0656 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys 2010/09/16 17:44:15.0703 sfvfs02 (d5a7e09d2c6a702809e49190d52adc9f) C:\WINDOWS\system32\drivers\sfvfs02.sys 2010/09/16 17:44:15.0750 SiS315 (c10865ab0a1fd9f4ec7db70a1b8425d1) C:\WINDOWS\system32\DRIVERS\sisgrp.sys 2010/09/16 17:44:15.0781 SISAGP (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys 2010/09/16 17:44:15.0796 SiSkp (96ad556979fb5d5e56141219772a9ec9) C:\WINDOWS\system32\DRIVERS\srvkp.sys 2010/09/16 17:44:15.0828 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys 2010/09/16 17:44:15.0875 sptd (a80cd850d69d996c832bea37e3a6aa1e) C:\WINDOWS\system32\Drivers\sptd.sys 2010/09/16 17:44:15.0906 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys 2010/09/16 17:44:15.0953 SRTSP (d0ab8e989935d895f1bed8f607fa0948) C:\WINDOWS\System32\Drivers\NIS\1201000.025\SRTSP.SYS 2010/09/16 17:44:15.0968 SRTSPX (fae9f5558a1f53670e579f9ffb4a67cc) C:\WINDOWS\system32\drivers\NIS\1201000.025\SRTSPX.SYS 2010/09/16 17:44:16.0015 Srv (da852e3e0bf1cea75d756f9866241e57) C:\WINDOWS\system32\DRIVERS\srv.sys 2010/09/16 17:44:16.0031 st3wolf (1e9a652d898cc96038e5e5554f79c49f) C:\WINDOWS\system32\DRIVERS\st3wolf.sys 2010/09/16 17:44:16.0062 stwlfbus (24e09d134304fbc605626fced3e4cb50) C:\WINDOWS\system32\DRIVERS\stwlfbus.sys 2010/09/16 17:44:16.0078 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys 2010/09/16 17:44:16.0109 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys 2010/09/16 17:44:16.0296 SymDS (67e83f8c7e80dc898a1d73b38412ba7a) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMDS.SYS 2010/09/16 17:44:16.0343 SymEFA (3986a8de371e985ba6c82eb8da3b1e98) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMEFA.SYS 2010/09/16 17:44:16.0375 SymEvent (5c76a63fac8a5580c5a1c4a4ed827782) C:\WINDOWS\system32\Drivers\SYMEVENT.SYS 2010/09/16 17:44:16.0390 SymIRON (8ae632773b5192dce48f4ec8de753863) C:\WINDOWS\system32\drivers\NIS\1201000.025\Ironx86.SYS 2010/09/16 17:44:16.0421 SYMTDI (34ff2368b7914d1b29d16aba865e982d) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMTDI.SYS 2010/09/16 17:44:16.0468 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys 2010/09/16 17:44:16.0515 TClass2k (1b3c28d36e669deeb39331255a3feeeb) C:\WINDOWS\system32\DRIVERS\TClass2k.sys 2010/09/16 17:44:16.0562 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys 2010/09/16 17:44:16.0578 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys 2010/09/16 17:44:16.0593 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys 2010/09/16 17:44:16.0625 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys 2010/09/16 17:44:16.0671 uagp35 (d85938f272d1bcf3db3a31fc0a048928) C:\WINDOWS\system32\DRIVERS\uagp35.sys 2010/09/16 17:44:16.0703 UCTblHid (adfa2e999bd2ddf89187dcbf0e3dd404) C:\WINDOWS\system32\DRIVERS\UCTblHid.sys 2010/09/16 17:44:16.0718 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys 2010/09/16 17:44:16.0765 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys 2010/09/16 17:44:16.0796 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys 2010/09/16 17:44:16.0796 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys 2010/09/16 17:44:16.0828 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys 2010/09/16 17:44:16.0843 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys 2010/09/16 17:44:16.0859 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys 2010/09/16 17:44:16.0890 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys 2010/09/16 17:44:16.0906 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 2010/09/16 17:44:16.0906 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys 2010/09/16 17:44:16.0937 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys 2010/09/16 17:44:16.0984 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys 2010/09/16 17:44:17.0000 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys 2010/09/16 17:44:17.0015 wceusbsh (2e8ba025d65dd49d15ea66973e2a15df) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys 2010/09/16 17:44:17.0062 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys 2010/09/16 17:44:17.0093 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys 2010/09/16 17:44:17.0140 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys 2010/09/16 17:44:17.0187 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys 2010/09/16 17:44:17.0203 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys 2010/09/16 17:44:17.0250 ================================================================================ 2010/09/16 17:44:17.0250 Scan finished 2010/09/16 17:44:17.0250 ================================================================================ |
16.09.2010, 16:55 | #6 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik kannst du noch mal cf ausprobieren? |
16.09.2010, 16:56 | #7 |
| Backdoor.Tidserv in ftdisk.sik Klar, Defogger dabei disabled lassen? |
16.09.2010, 17:00 | #8 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik ja, es steht da, bis angewiesen wird. und dass ist am ende. |
16.09.2010, 17:23 | #9 |
| Backdoor.Tidserv in ftdisk.sik Hatte eben bei Kaspersky noch Defogger-Fenster offen und Norton an. Vielleicht deshalb nichts gefunden worden? Hier das CF-Log: Code:
ATTFilter ComboFix 10-09-15.03 - xxx 16.09.2010 18:14:11.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C} AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8} FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220} . ((((((((((((((((((((((( Dateien erstellt von 2010-08-16 bis 2010-09-16 )))))))))))))))))))))))))))))) . 2010-09-15 22:33 . 2010-09-15 22:36 -------- d-----w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE 2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes 2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2010-09-15 19:48 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-15 19:48 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-15 19:10 . 2010-09-15 19:10 161296 ----a-w- c:\windows\system32\drivers\tmcomm.sys 2010-09-11 10:35 . 2010-09-11 10:35 388096 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2010-09-05 15:10 . 2010-09-05 15:10 503808 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll 2010-09-05 15:10 . 2010-09-05 15:10 499712 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll 2010-09-05 15:10 . 2010-09-05 15:10 348160 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll 2010-09-05 15:10 . 2010-09-05 15:10 61440 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll 2010-09-05 15:10 . 2010-09-05 15:10 12800 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll 2010-09-05 11:02 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-09-05 10:56 . 2010-09-05 10:56 -------- d-----w- c:\programme\Defraggler 2010-09-05 10:55 . 2010-09-05 10:55 -------- d-----w- c:\programme\Microsoft.NET 2010-09-05 10:46 . 2010-07-20 13:05 81920 ----a-w- c:\windows\system32\igfxCoIn_v5284.dll 2010-09-05 09:41 . 2010-09-05 09:41 -------- d-----w- c:\programme\NT Registry Optimizer 2010-09-05 08:35 . 2010-07-29 03:33 666672 ----a-r- c:\windows\system32\drivers\SymEFA.sys 2010-09-05 08:35 . 2010-07-29 02:54 50096 ----a-r- c:\windows\system32\drivers\srtspx.sys 2010-09-05 08:35 . 2010-07-13 01:20 369072 ----a-r- c:\windows\system32\drivers\symtdi.sys 2010-09-05 08:35 . 2010-06-27 04:05 134704 ----a-r- c:\windows\system32\drivers\Ironx86.sys 2010-09-05 08:35 . 2010-06-13 10:50 339504 ----a-r- c:\windows\system32\drivers\SymDS.sys 2010-09-05 07:58 . 2010-09-05 08:35 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL 2010-09-05 07:58 . 2010-09-05 08:35 126512 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS 2010-09-05 07:58 . 2010-09-05 08:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2010-09-05 07:58 . 2010-09-05 08:38 -------- d-----w- c:\windows\system32\drivers\NIS 2010-09-05 07:58 . 2010-09-05 08:43 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton 2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Norton Internet Security 2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Windows Sidebar 2010-09-05 07:54 . 2010-09-05 07:54 -------- d-----w- c:\programme\NortonInstaller 2010-09-05 03:09 . 2010-09-05 04:18 -------- d-----w- C:\NBRT 2010-09-04 18:21 . 2010-09-05 07:57 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller 2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\windows\system32\wbem\Repository 2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2010-09-04 15:37 . 2010-09-04 15:40 -------- d-s---w- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2010-09-04 15:27 . 2010-09-04 15:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\IETldCache 2010-09-04 15:15 . 2010-09-04 15:15 -------- d-----w- c:\dokumente und einstellungen\xxx\PrivacIE . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-16 14:42 . 2008-02-01 15:33 -------- d-----w- c:\programme\Mozilla Thunderbird 2010-09-15 22:28 . 2006-11-26 17:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy 2010-09-15 19:18 . 2009-12-17 18:41 -------- d-----w- c:\programme\SystemRequirementsLab 2010-09-15 17:25 . 2008-02-01 14:30 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla 2010-09-15 17:20 . 2009-06-03 12:01 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype 2010-09-15 17:20 . 2008-08-18 20:06 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM 2010-09-14 23:11 . 2009-09-20 18:50 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc 2010-09-13 15:57 . 2007-12-05 20:13 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp 2010-09-13 15:53 . 2007-03-12 18:01 -------- d-----w- c:\programme\Winamp 2010-09-13 15:53 . 2010-03-25 18:05 -------- d-----w- c:\programme\Winamp Detect 2010-09-11 15:46 . 2010-07-04 15:31 -------- d-----w- c:\programme\ICQ7.1 2010-09-11 10:30 . 2008-09-15 17:34 -------- d-----w- c:\programme\KONAMI 2010-09-11 09:46 . 2010-05-06 21:58 16 ----a-w- c:\windows\msocreg32.dat 2010-09-08 17:47 . 2005-01-07 18:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-09-08 17:25 . 2010-07-06 21:49 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe 2010-09-05 20:01 . 2004-08-04 12:00 126336 ----a-w- c:\windows\system32\drivers\ftdisk.sik 2010-09-05 11:15 . 2007-01-03 14:15 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic 2010-09-05 11:02 . 2006-11-03 12:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-09-05 11:02 . 2004-11-18 14:17 -------- d-----w- c:\programme\Java 2010-09-05 10:58 . 2004-08-04 12:00 94746 ----a-w- c:\windows\system32\perfc007.dat 2010-09-05 10:58 . 2004-08-04 12:00 502424 ----a-w- c:\windows\system32\perfh007.dat 2010-09-05 10:46 . 2009-09-23 15:34 -------- d-----w- c:\programme\CCleaner 2010-09-05 08:35 . 2010-09-05 07:58 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF 2010-09-05 08:35 . 2010-09-05 07:58 7456 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT 2010-09-05 08:35 . 2004-11-18 14:14 -------- d-----w- c:\programme\Symantec 2010-09-05 08:27 . 2010-07-25 20:49 1324 ----a-w- c:\windows\system32\d3d9caps.dat 2010-09-04 16:49 . 2009-06-03 12:00 -------- d-----r- c:\programme\Skype 2010-09-04 16:49 . 2006-12-29 19:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype 2010-09-04 16:48 . 2008-12-04 16:18 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss 2010-09-01 17:50 . 2010-05-26 15:00 87 ----a-w- c:\windows\system32\ssprs.tgz.vir 2010-09-01 17:50 . 2010-05-26 15:00 73 ----a-w- c:\windows\system32\ssprs.dll.vir 2010-09-01 17:50 . 2010-05-26 15:00 219 ----a-w- c:\windows\system32\lsprst7.tgz.vir 2010-09-01 17:50 . 2010-05-26 15:00 205 ----a-w- c:\windows\system32\lsprst7.dll.vir 2010-08-23 18:18 . 2010-01-16 15:54 -------- d-----w- c:\programme\PokerStars 2010-08-22 14:15 . 2007-04-19 12:47 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ 2010-08-17 13:17 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-08-07 18:20 . 2010-08-07 18:20 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers 2010-08-07 18:20 . 2010-05-15 15:48 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2010-08-07 18:20 . 2009-07-29 19:48 -------- d-----w- c:\programme\DVDVideoSoft 2010-08-03 21:08 . 2009-07-20 20:19 -------- d-----w- c:\programme\TrackMania Nations ESWC 2010-08-03 20:29 . 2010-06-21 21:19 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon 2010-08-03 20:26 . 2006-11-30 19:36 70880 -c--a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-07-31 17:01 . 2008-11-06 23:31 1 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-07-31 16:31 . 2008-06-07 22:36 -------- d-----w- c:\programme\phase5 2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares 2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\programme\Antares Audio Technologies 2010-07-24 15:24 . 2006-11-06 18:56 -------- d-----w- c:\programme\VstPlugins 2010-07-23 23:47 . 2008-02-01 14:30 -------- d-----w- c:\programme\FileZilla FTP Client 2010-07-22 15:48 . 2004-08-04 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll 2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-07-20 12:58 . 2009-07-13 12:44 4123648 ----a-w- c:\windows\system32\igxpdx32.dll 2010-07-20 12:57 . 2009-07-13 12:44 3482432 ----a-w- c:\windows\system32\igxpdv32.dll 2010-07-20 12:57 . 2009-07-13 12:44 2003584 ----a-w- c:\windows\system32\drivers\igxpmp32.sys 2010-07-20 12:57 . 2009-07-13 12:44 982240 ----a-w- c:\windows\system32\igkrng500.bin 2010-07-20 12:57 . 2009-07-13 12:44 58368 ----a-w- c:\windows\system32\igxprd32.dll 2010-07-20 12:57 . 2009-07-13 12:44 439308 ----a-w- c:\windows\system32\igcompkrng500.bin 2010-07-20 12:57 . 2009-07-13 12:44 182784 ----a-w- c:\windows\system32\igxpgd32.dll 2010-07-20 12:45 . 2009-07-13 12:44 10963456 ----a-w- c:\windows\system32\ig4icd32.dll 2010-07-20 12:37 . 2009-07-13 12:44 129536 ----a-w- c:\windows\system32\igfxtray.exe 2010-07-20 12:37 . 2009-07-13 12:44 194048 ----a-w- c:\windows\system32\igfxpph.dll 2010-07-20 12:36 . 2009-07-13 12:44 163328 ----a-w- c:\windows\system32\hkcmd.exe 2010-07-20 12:36 . 2009-07-13 12:44 138752 ----a-w- c:\windows\system32\igfxpers.exe 2010-07-20 12:36 . 2009-07-13 12:44 23552 ----a-w- c:\windows\system32\igfxexps.dll 2010-07-20 12:36 . 2009-07-13 12:44 172032 ----a-w- c:\windows\system32\igfxext.exe 2010-07-20 12:36 . 2009-07-13 12:44 130048 ----a-w- c:\windows\system32\igfxdo.dll 2010-07-20 12:36 . 2009-07-13 12:44 57344 ----a-w- c:\windows\system32\igfxsrvc.dll 2010-07-20 12:36 . 2009-07-13 12:44 257536 ----a-w- c:\windows\system32\igfxsrvc.exe 2010-07-20 12:36 . 2009-12-17 18:45 3139584 ----a-w- c:\windows\system32\GfxUI.exe 2010-07-20 12:36 . 2009-07-13 12:44 94720 ----a-w- c:\windows\system32\hccutils.dll 2010-07-20 12:36 . 2009-12-17 18:45 121344 ----a-w- c:\windows\system32\gfxSrvc.dll 2010-07-20 12:36 . 2009-12-17 18:45 4096 ----a-w- c:\windows\system32\IGFXDEVLib.dll 2010-07-20 12:36 . 2009-07-13 12:44 214016 ----a-w- c:\windows\system32\igfxdev.dll 2010-07-20 12:35 . 2009-07-13 12:44 828928 ----a-w- c:\windows\system32\igfxress.dll 2010-07-06 21:31 . 2010-07-06 21:31 10134 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe 2010-07-06 21:28 . 2010-07-06 21:28 38784 ----a-w- c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe 2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\windows\system32\schannel.dll 2010-06-26 16:12 . 2010-06-26 16:12 2568656 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe 2010-06-24 12:22 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys 2010-06-21 15:27 . 2004-08-04 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys 2010-06-18 17:44 . 2004-08-04 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll 2009-12-27 18:45 . 2009-12-27 18:45 561 ----a-w- c:\programme\StandaloneRecallCCAssign.f8c 2009-12-27 18:45 . 2009-12-27 18:45 1072 ----a-w- c:\programme\StandaloneRecall.fm8 2001-11-05 07:30 . 2009-02-28 13:54 165376 ------w- c:\programme\UNWISE.EXE 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll 2007-05-13 21:08 . 2007-05-13 21:08 5 -csha-w- c:\windows\system32\bcadadfeee_d.dll 2007-05-13 21:06 . 2007-05-13 21:06 5 -csha-w- c:\windows\system32\bcadadfeee_s.dll . ((((((((((((((((((((((((((((( SnapShot@2010-09-16_15.14.00 ))))))))))))))))))))))))))))))))))))))))) . + 2010-09-16 16:14 . 2010-09-16 16:14 16384 c:\windows\Temp\Perflib_Perfdata_29c.dat + 2010-09-16 16:13 . 2010-09-16 16:13 16384 c:\windows\Temp\Perflib_Perfdata_25c.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280] "H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952] "IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328] "Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoStrCmpLogical"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MaxRecentDocs"= 11 (0xb) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "LexBceS"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "HotKeysCmds"=c:\windows\system32\hkcmd.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\WINDOWS\\system32\\javaw.exe"= "c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\ICQ7.1\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704] R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504] R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672] R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272] R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704] R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904] R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792] R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448] R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640] R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360] S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664] S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728] S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208] S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024] S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744] S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864] S3 SampleScanner;Ultima2000 Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416] . Inhalt des "geplante Tasks" Ordners 2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08] 2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52] 2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de uInternet Settings,ProxyOverride = *.local uSearchAssistant = hxxp://www.google.com/ie IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\xxx\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms} FF - prefs.js: browser.startup.homepage - hxxp://www.google.de FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q= FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-connections-per-server - 8 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: nglayout.initialpaint.delay - 300 FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.switch.threshold - 650000 c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . . ------- Dateityp-Verknüpfung ------- . .txt= . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-16 18:18 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3E1DC8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28 \Driver\ACPI -> ACPI.sys @ 0xb977ecb8 \Driver\atapi -> 0x8a3e1dc8 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0 PacketIndicateHandler -> NDIS.sys @ 0xb953ca21 SendHandler -> NDIS.sys @ 0xb951a87b Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS] "ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d, 6b,69,00,06 "habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63, 68,6a,00,4d [HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36, 7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\ "??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d [HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell] @DACL=(02 0000) @="Open" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . Zeit der Fertigstellung: 2010-09-16 18:19:54 ComboFix-quarantined-files.txt 2010-09-16 16:19 ComboFix2.txt 2010-09-16 15:15 Vor Suchlauf: 23 Verzeichnis(se), 135.289.184.256 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 135.274.700.800 Bytes frei - - End Of File - - A7027AFEB2BD7042E98C1AA076F40EA4 |
16.09.2010, 17:29 | #10 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik nutze mal gmer. http://www.trojaner-board.de/74908-a...t-scanner.html |
16.09.2010, 23:05 | #11 |
| Backdoor.Tidserv in ftdisk.sik GMER lief seit 19:30 Uhr bist grade eben. Musste es allerdings abbrechen, da ich morgen arbeiten muss und es immer noch nicht fertig war mit scannen. Gibt's eine Möglichkeit den Scan etwas abzukürzen, so dass er keine 5 oder 6 Stunden läuft? So lange bin ich ja nie am PC! |
17.09.2010, 10:21 | #12 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik 1. atf cleaner: |MG| ATF Cleaner 3.0.0.2 Download hake alles an, auch auf dem firefox tap, wähle emty selected, bestätige mit ok. 2. ccleaner, dateien + registry bereinigen: http://www.trojaner-board.de/51464-a...-ccleaner.html 3. systemwiederherstellung de-und reaktivieren Windows XP - Die Systemwiederherstellung komplett abschalten vor dem reaktivieren 5 min warten. 4. wärend GMER läuft, schaltest du alle aktieven programme, auch antivirus aus und trennst die internet verbindung. vllt bringen diese tipps ne zeitersparniss. |
18.09.2010, 18:57 | #13 |
| Backdoor.Tidserv in ftdisk.sik Habs mal ausgeführt, wie du es beschrieben hast. War dann weg vom PC in der Annahme es würde wieder länger dauern. Als ich wieder kam, war ich am Anmeldebildschirm und als ich mich dann angemeldet hatte, kam die Meldung, dass das System aufgrund eines schwerwiegenden Fehlers neugestartet wurde. Des weiteren hängt mein PC nach jedem GMER-Scan und lässt sich nicht herunterfahren. Werde wohl morgen nochmal versuchen zu scannen, hoffe dann geht es, ansonsten müssten wir uns eine Alternative zurechtlegen. Gruß |
19.09.2010, 19:28 | #14 |
| Backdoor.Tidserv in ftdisk.sik So, hier endlich mal ein GMER-Log. Hat lange gedauert. Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-09-19 20:22:07 Windows 5.1.2600 Service Pack 3 Running: zscfi4o6.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pwldqpog.sys ---- System - GMER 1.0.15 ---- SSDT 8A46F810 ZwAlertResumeThread SSDT 8A48D980 ZwAlertThread SSDT 89ED4A00 ZwAllocateVirtualMemory SSDT 8A5C3318 ZwAssignProcessToJobObject SSDT 8A524AC0 ZwConnectPort SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xA7B3A720] SSDT 8A597E90 ZwCreateMutant SSDT 8A11EE78 ZwCreateSymbolicLinkObject SSDT 8A4E8A60 ZwCreateThread SSDT 8A5CA3E8 ZwDebugActiveProcess SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xA7B3A9A0] SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA7B3AF00] SSDT 89E87130 ZwDuplicateObject SSDT 8A59C168 ZwFreeVirtualMemory SSDT 8A46AB70 ZwImpersonateAnonymousToken SSDT 8A46E0F0 ZwImpersonateThread SSDT 8A414E30 ZwLoadDriver SSDT 89B6F090 ZwMapViewOfSection SSDT 8A463520 ZwOpenEvent SSDT 8A860FC0 ZwOpenProcess SSDT 8A764050 ZwOpenProcessToken SSDT 8A4576D0 ZwOpenSection SSDT 8A415188 ZwOpenThread SSDT 8997FE78 ZwProtectVirtualMemory SSDT 8A48D9B8 ZwResumeThread SSDT 8A4DE0A8 ZwSetContextThread SSDT 8A4F0A20 ZwSetInformationProcess SSDT 8A5B8478 ZwSetSystemInformation SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA7B3B150] SSDT 8A457FD0 ZwSuspendProcess SSDT 8A4B10B0 ZwSuspendThread SSDT 8A4EE240 ZwTerminateProcess SSDT 8A4B3CD0 ZwTerminateThread SSDT 8A6B2050 ZwUnmapViewOfSection SSDT 89EF9A00 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2CC8 80504564 4 Bytes CALL DEDAA20C ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device \Driver\Cdrom \Device\CdRom0 8A3F0188 Device \Driver\Cdrom \Device\CdRom1 8A3F0188 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8A452E08 Device \Driver\atapi \Device\Ide\IdePort0 8A452E08 Device \Driver\atapi \Device\Ide\IdePort1 8A452E08 Device \Driver\atapi \Device\Ide\IdePort2 8A452E08 Device \Driver\atapi \Device\Ide\IdePort3 8A452E08 Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e 8A452E08 Device \Driver\Cdrom \Device\CdRom2 8A3F0188 Device \Driver\Cdrom \Device\CdRom3 8A3F0188 Device \Driver\Cdrom \Device\CdRom4 8A3F0188 AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target2Lun0 8A16D940 Device \Driver\st3wolf \Device\Scsi\st3wolf1 8A16D940 Device \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target0Lun0 8A16D940 Device \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target3Lun0 8A16D940 Device \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target1Lun0 8A16D940 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x50 0x35 0xAD 0xC7 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA5 0x50 0x02 0x4E ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD0 0xE6 0x8D 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xAE 0x51 0xE9 0xA4 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0xFC 0xED 0xAE 0xD5 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0x35 0x75 0xDA 0xF1 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x50 0x35 0xAD 0xC7 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA5 0x50 0x02 0x4E ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x24 0xED 0x9C 0x5E ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xAE 0x51 0xE9 0xA4 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0xFC 0xED 0xAE 0xD5 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0x35 0x75 0xDA 0xF1 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x50 0x35 0xAD 0xC7 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA5 0x50 0x02 0x4E ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x24 0xED 0x9C 0x5E ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xAE 0x51 0xE9 0xA4 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0xFC 0xED 0xAE 0xD5 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0x35 0x75 0xDA 0xF1 ... Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell@ Open Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New@ &Neu Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@ "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@command .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n? Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec@ [REM _DDE_Direct][FileNew("%1")] Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application@ WinWord Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic@ System Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open@ ?&ffnen Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@ "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@command .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n? Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec@ [REM _DDE_Direct][FileOpen("%1")] Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application@ WinWord Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic@ System Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print@ &Drucken Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec@ [REM _DDE_Minimize][FileOpen("%1")][t=IsDocumentDirty()][FilePrint 0][SetDocumentDirty t][DocClose] Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application@ WinWord Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec@ [FileOpen("%1")][FilePrint 0][FileExit 2] Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic@ System Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec@ [REM _DDE_Minimize][FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][DocClose 2][FilePrintSetup ""] Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application@ WinWord Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec@ [FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][FileExit 2] Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic@ System Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@iadbiiibeagnjnadmd 0x6A 0x61 0x6D 0x65 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@habbgiihkmpljcpi 0x6A 0x61 0x6D 0x65 ... ---- EOF - GMER 1.0.15 ---- |
20.09.2010, 09:41 | #15 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik kannst du mal das esage lab tdss remover tool versuchen esage lab - resources |
Themen zu Backdoor.Tidserv in ftdisk.sik |
adobe, adware.trymedia, backdoor.tidserv, bho, bonjour, computer, converter, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, intrusion prevention, logfile, mozilla, mp3, opera.exe, pdf, plug-in, programme, rootkit, security, software, symantec, tablet, trymedia, virus, windows xp |