|
Log-Analyse und Auswertung: Trojaner TR/Swizzor.xecWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.09.2010, 17:54 | #1 |
| Trojaner TR/Swizzor.xec Hallo, gestern hat mein Antivir ein Trojanisches Pferd (TR/Swizzor) entdeckt, ich dachte mir nicht viel dabei und habe es gelöscht, mit Spybot, Malwarebytes und Antivir durchscannen lassen und als nichts gefunden wurde dachte ich es wäre gegessen. Heute habe ich dann einen erneuten Alarm Code:
ATTFilter Typ: Datei Quelle: C:\System Volume Information\_restore{09A4B542-55F7-4B12-A842-6C7037068AEB}\RP272\A0069411.exe Status: Infiziert Quarantäne-Objekt: 4eb4815f.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.60 Virendefinitionsdatei: 7.10.12.21 Meldung: Ist das Trojanische Pferd TR/Swizzor.xec Datum/Uhrzeit: 25.09.2010, 18:38 Hier das HijackThis log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18:39:24, on 25.09.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\EXPERTool\TBPanel.exe C:\Programme\DAEMON Tools Lite\DTLite.exe C:\Programme\NETGEAR\WN111v2\WN111V2.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gigabyte\EasySaver\ESSVR.EXE C:\Programme\LogMeIn Hamachi\hamachi-2.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Tunngle\TnglCtrl.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\QIP\qip.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\plugin-container.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.qip.ru/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.qip.ru R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.qip.ru/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [GAINWARD] C:\Programme\EXPERTool\TBPanel.exe /A O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: NETGEAR WN111v2 Setup-Assistent.lnk = C:\Programme\NETGEAR\WN111v2\WN111V2.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Programme\QIP\qip.exe (HKCU) O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - h**ps://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.27.0.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - C:\Programme\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Programme\NETGEAR\WN111v2\jswpsapi.exe O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: TunngleService - Tunngle.net GmbH - C:\Programme\Tunngle\TnglCtrl.exe -- End of file - 7752 bytes Geändert von 1Ph9 (25.09.2010 um 18:04 Uhr) |
26.09.2010, 07:21 | #2 |
| Trojaner TR/Swizzor.xec Hallo
__________________deaktiviere bitte die Systemwiederherstellung --> System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden. Bitte vergebe anschließend einen neuen Wiederherstellungspunkt, unter Start --> Programme --> Zubehör --> Systemprogramme --> Systemwiederherstellung findest du den Punkt einen neuen zu erstellen. Anschließend Antivir updaten und wie hier angegeben scannen lassen http://www.trojaner-board.de/54192-a...tellungen.html anschließend berichte bitte. MFG
__________________ |
26.09.2010, 12:11 | #3 |
| Trojaner TR/Swizzor.xec Hallo und danke für die schnelle Antwort!
__________________An sich ist alles klar, nur weiß ich nicht, was ich in das Textfeld "Beschreibung des Wiederherstellungspunktes" eingeben soll. Ist das egal oder muss ich da etwas bestimmtes reinschreiben? Edit: Ich denke es hat sich von alleine erklärt, habe jetzt einfach mal was reingeschrieben und lasse Antivir durchlaufen. Werde den Report dann später hier reineditieren. Geändert von 1Ph9 (26.09.2010 um 12:18 Uhr) |
26.09.2010, 12:18 | #4 |
| Trojaner TR/Swizzor.xec Hallo egal, nimm etwas mit Wiedererkennungswert für dich. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
26.09.2010, 13:21 | #5 |
| Trojaner TR/Swizzor.xec Hier das Log - keine Funde. Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 26. September 2010 13:18 Es wird nach 2874959 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : *** Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 22.04.2010 11:49:57 AVSCAN.DLL : 10.0.3.0 56168 Bytes 22.04.2010 11:49:57 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 16:44:22 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:41:23 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:57:34 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:29:36 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:00:38 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 11:49:56 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 11:23:44 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 13:33:17 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 10:23:15 VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 10:23:15 VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 10:23:15 VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 10:23:15 VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 10:23:15 VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 10:23:16 VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 11:05:59 VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 13:18:03 VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 13:58:09 VBASE017.VDF : 7.10.12.5 2048 Bytes 23.09.2010 13:58:09 VBASE018.VDF : 7.10.12.6 2048 Bytes 23.09.2010 13:58:09 VBASE019.VDF : 7.10.12.7 2048 Bytes 23.09.2010 13:58:09 VBASE020.VDF : 7.10.12.8 2048 Bytes 23.09.2010 13:58:09 VBASE021.VDF : 7.10.12.9 2048 Bytes 23.09.2010 13:58:09 VBASE022.VDF : 7.10.12.10 2048 Bytes 23.09.2010 13:58:09 VBASE023.VDF : 7.10.12.11 2048 Bytes 23.09.2010 13:58:09 VBASE024.VDF : 7.10.12.12 2048 Bytes 23.09.2010 13:58:10 VBASE025.VDF : 7.10.12.13 2048 Bytes 23.09.2010 13:58:10 VBASE026.VDF : 7.10.12.14 2048 Bytes 23.09.2010 13:58:10 VBASE027.VDF : 7.10.12.15 2048 Bytes 23.09.2010 13:58:10 VBASE028.VDF : 7.10.12.16 2048 Bytes 23.09.2010 13:58:10 VBASE029.VDF : 7.10.12.17 2048 Bytes 23.09.2010 13:58:10 VBASE030.VDF : 7.10.12.18 2048 Bytes 23.09.2010 13:58:10 VBASE031.VDF : 7.10.12.30 73728 Bytes 24.09.2010 11:17:15 Engineversion : 8.2.4.66 AEVDF.DLL : 8.1.2.1 106868 Bytes 04.08.2010 13:33:33 AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 19.09.2010 11:06:07 AESCN.DLL : 8.1.6.1 127347 Bytes 14.05.2010 11:12:57 AESBX.DLL : 8.1.3.1 254324 Bytes 09.05.2010 10:37:41 AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 13:58:11 AEPACK.DLL : 8.2.3.7 471413 Bytes 19.09.2010 11:06:05 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 04.08.2010 13:33:30 AEHEUR.DLL : 8.1.2.27 2933110 Bytes 26.09.2010 11:17:19 AEHELP.DLL : 8.1.13.4 242038 Bytes 26.09.2010 11:17:16 AEGEN.DLL : 8.1.3.22 401780 Bytes 19.09.2010 11:06:01 AEEMU.DLL : 8.1.2.0 393588 Bytes 09.05.2010 10:37:34 AECORE.DLL : 8.1.17.0 196982 Bytes 26.09.2010 11:17:16 AEBB.DLL : 8.1.1.0 53618 Bytes 09.05.2010 10:37:34 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 22.04.2010 11:49:57 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 22.04.2010 11:49:57 AVARKT.DLL : 10.0.0.14 227176 Bytes 22.04.2010 11:49:57 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 22.04.2010 11:49:56 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Auszulassende Dateien.................: C:\Dokumente und Einstellungen\Haas\Lokale Einstellungen\Temp\myth.tmp, Beginn des Suchlaufs: Sonntag, 26. September 2010 13:18 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\Gigabyte\ESLITE\cpu_max [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\RNG\seed [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. ntvdm.exe [HINWEIS] Der Prozess ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'TnglCtrl.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'hamachi-2.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'ESSVR.EXE' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'WN111V2.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'DTLite.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'TBPanel.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'hamachi-2-ui.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'acs.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '394' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' Ende des Suchlaufs: Sonntag, 26. September 2010 14:19 Benötigte Zeit: 1:01:16 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 6933 Verzeichnisse wurden überprüft 565172 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 565172 Dateien ohne Befall 3180 Archive wurden durchsucht 0 Warnungen 0 Hinweise 484069 Objekte wurden beim Rootkitscan durchsucht 3 Versteckte Objekte wurden gefunden |
26.09.2010, 22:15 | #7 |
| Trojaner TR/Swizzor.xec Hier die Logs: Malwarebytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4494 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 26.09.2010 22:48:57 mbam-log-2010-09-26 (22-48-57).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 220916 Laufzeit: 44 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter OTL logfile created on: 26.09.2010 23:01:49 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 77,00% Memory free 5,00 Gb Paging File | 4,00 Gb Available in Paging File | 87,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 465,75 Gb Total Space | 346,89 Gb Free Space | 74,48% Space Free | Partition Type: NTFS Drive D: | 7,05 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF Drive E: | 585,49 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: *** Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) PRC - C:\Programme\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.) PRC - C:\Programme\Tunngle\TnglCtrl.exe (Tunngle.net GmbH) PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe () PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\QIP\qip.exe (The Author of QIP) PRC - C:\Programme\EXPERTool\TBPANEL.exe (Gainward Co.) PRC - C:\Programme\NETGEAR\WN111v2\WN111V2.exe (NETGEAR) PRC - C:\Programme\Gigabyte\EasySaver\essvr.exe () PRC - C:\WINDOWS\system32\acs.exe (Atheros) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (Hamachi2Svc) -- C:\Programme\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.) SRV - (TunngleService) -- C:\Programme\Tunngle\TnglCtrl.exe (Tunngle.net GmbH) SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe () SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (npggsvc) -- C:\WINDOWS\System32\GameMon.des (INCA Internet Co., Ltd.) SRV - (DAUpdaterSvc) -- C:\Programme\Dragon Age\bin_ship\daupdatersvc.service.exe (BioWare) SRV - (ES lite Service) -- C:\Programme\Gigabyte\EasySaver\ESSVR.EXE () SRV - (ACS) -- C:\WINDOWS\system32\acs.exe (Atheros) SRV - (jswpsapi) -- C:\Programme\NETGEAR\WN111v2\jswpsapi.exe (Atheros Communications, Inc.) SRV - (rpcapd) Remote Packet Capture Protocol v.0 (experimental) -- C:\Programme\WinPcap\rpcapd.exe (CACE Technologies) SRV - (lxcc_device) -- C:\WINDOWS\System32\lxcccoms.exe (Lexmark International, Inc.) ========== Driver Services (SafeList) ========== DRV - (PCD65X3) -- C:\DOKUME~1\***\LOKALE~1\Temp\PCD65X3.sys File not found DRV - (PCD65X2) -- C:\DOKUME~1\***\LOKALE~1\Temp\PCD65X2.sys File not found DRV - (GarenaPEngine) -- C:\DOKUME~1\***\LOKALE~1\Temp\TUI87.tmp File not found DRV - (gdrv) -- C:\WINDOWS\gdrv.sys (Windows (R) 2000 DDK provider) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.) DRV - (SSHDRV65) -- C:\WINDOWS\system32\drivers\SSHDRV65.sys () DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys () DRV - (tap0901t) TAP-Win32 Adapter V9 (Tunngle) -- C:\WINDOWS\system32\drivers\tap0901t.sys (Tunngle.net) DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys () DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys () DRV - (LMouKE) -- C:\WINDOWS\system32\drivers\LMouKE.Sys (Logitech, Inc.) DRV - (LMouFilt) -- C:\WINDOWS\system32\drivers\LMouFilt.Sys (Logitech, Inc.) DRV - (LHidFilt) -- C:\WINDOWS\system32\drivers\LHidFilt.Sys (Logitech, Inc.) DRV - (L8042mou) -- C:\WINDOWS\system32\drivers\L8042mou.Sys (Logitech, Inc.) DRV - (L8042Kbd) -- C:\WINDOWS\system32\drivers\L8042Kbd.sys (Logitech, Inc.) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (cpuz132) -- C:\WINDOWS\system32\drivers\cpuz132_x32.sys (Windows (R) Codename Longhorn DDK provider) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (acedrv11) -- C:\WINDOWS\system32\drivers\acedrv11.sys (Protect Software GmbH) DRV - (WN111v2) -- C:\WINDOWS\system32\drivers\WN111v2.sys (Atheros Communications, Inc.) DRV - (JRAID) -- C:\WINDOWS\system32\DRIVERS\jraid.sys (JMicron Technology Corp.) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (JSWSCIMD) -- C:\WINDOWS\system32\drivers\jswscimd.sys (Atheros Communications, Inc.) DRV - (BVRPMPR5) -- C:\WINDOWS\system32\drivers\BVRPMPR5.SYS (Avanquest Software) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation) DRV - (WSIMD) -- C:\WINDOWS\system32\drivers\wsimd.sys (Atheros Communications, Inc.) DRV - (NPF) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies) DRV - (ATITool) -- C:\WINDOWS\system32\drivers\ATITool.sys () DRV - (AmdPPM) -- C:\WINDOWS\system32\drivers\AmdPPM.sys (Advanced Micro Devices) DRV - (TBPanel) -- C:\WINDOWS\System32\drivers\TBPanel.sys (Windows (R) 2000 DDK provider) DRV - (Cardex) -- C:\WINDOWS\system32\drivers\TBPanel.sys (Windows (R) 2000 DDK provider) DRV - (DNINDIS5) -- C:\WINDOWS\system32\DNINDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA)) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = ***://search.qip.ru IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = ***://search.qip.ru IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = ***://search.qip.ru IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = ***://lania.de/utopia/index.php IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = ***://search.qip.ru/ie IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll (DeviceVM Inc.) IE - HKCU\..\URLSearchHook: {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "QIP Search" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "google.de" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.3.2 FF - prefs.js..extensions.enabledItems: check4change-owner@mozdev.org:1.7.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.8.20100408.6 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.19 19:03:46 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.16 14:58:18 | 000,000,000 | ---D | M] [2009.07.21 14:37:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.09.26 20:14:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kq69kj9v.default\extensions [2010.04.27 13:32:23 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kq69kj9v.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.09.21 15:32:16 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kq69kj9v.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232} [2010.08.18 15:49:54 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kq69kj9v.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.07.04 18:03:37 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kq69kj9v.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781} [2010.07.11 13:48:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kq69kj9v.default\extensions\check4change-owner@mozdev.org [2009.08.24 13:56:52 | 000,002,061 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kq69kj9v.default\searchplugins\qipsearch.xml [2010.09.26 20:08:40 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.04.26 18:16:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.04 17:13:44 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.07.23 02:48:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.07.23 02:48:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.07.23 02:48:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.07.23 02:48:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.07.23 02:48:56 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.09.25 04:15:40 | 000,419,595 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 14478 more lines... O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (QIPBHO Class) - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru) O2 - BHO: (QIPBHO Class) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [FaxCenterServer] C:\Programme\Lexmark Fax Solutions\fm3032.exe () O4 - HKLM..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe () O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.) O4 - HKLM..\Run: [LXCCCATS] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.DLL () O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] File not found O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) O4 - HKCU..\Run: [GAINWARD] C:\Programme\EXPERTool\TBPanel.exe (Gainward Co.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WN111v2 Setup-Assistent.lnk = C:\Programme\NETGEAR\WN111v2\WN111V2.exe (NETGEAR) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} ***s://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.27.0.cab (Battlefield Heroes Updater) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} ***://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} ***://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} ***://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ***://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\***\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\***\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\***s\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\***s\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Bilder\stark.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Bilder\stark.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.07.18 13:47:54 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2010.05.25 06:16:57 | 000,000,046 | RH-- | M] () - D:\autorun.inf -- [ UDF ] O32 - AutoRun File - [2005.06.09 12:03:41 | 000,000,203 | R--- | M] () - E:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell - "" = AutoRun O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell\AutoRun\command - "" = E:\Setup.Exe -- [2005.07.16 21:04:38 | 000,581,632 | R--- | M] (Microsoft Corporation) O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell\directx\command - "" = E:\DirectX\dxsetup.exe -- [2004.07.09 14:08:36 | 000,472,576 | R--- | M] (Microsoft Corporation) O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell\setup\command - "" = E:\Setup.Exe -- [2005.07.16 21:04:38 | 000,581,632 | R--- | M] (Microsoft Corporation) O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.26 21:15:11 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.09.26 20:43:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canneverbe Limited [2010.09.26 20:43:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2010.09.26 20:43:37 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP [2010.09.26 19:48:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\My Games [2010.09.26 19:38:30 | 000,098,304 | ---- | C] (Sony DADC Austria AG.) -- C:\WINDOWS\System32\CmdLineExt.dll [2010.09.26 15:37:21 | 000,000,000 | ---D | C] -- C:\Programme\JDownloader [2010.09.25 04:14:46 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2010.09.25 03:48:45 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security [2010.09.25 03:32:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.08.28 18:08:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes [2010.08.28 18:08:27 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.08.28 18:08:25 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.08.28 18:08:25 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.08.28 18:08:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.09.26 22:57:59 | 008,912,896 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.09.26 21:55:12 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2010.09.26 21:55:11 | 000,016,608 | ---- | M] (Windows (R) 2000 DDK provider) -- C:\WINDOWS\gdrv.sys [2010.09.26 21:55:00 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2010.09.26 21:54:57 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.26 21:54:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.26 21:54:04 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\Access.dat [2010.09.26 21:15:11 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.09.26 20:43:38 | 000,001,576 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [2010.09.26 19:38:30 | 000,098,304 | ---- | M] (Sony DADC Austria AG.) -- C:\WINDOWS\System32\CmdLineExt.dll [2010.09.26 19:08:37 | 000,013,698 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.09.26 15:37:32 | 000,000,738 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\JDownloader.lnk [2010.09.25 04:15:40 | 000,419,595 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2010.09.23 17:31:22 | 000,239,499 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\nerd.jpg [2010.09.22 17:39:50 | 004,972,598 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\WC3.bmp [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.26 20:43:38 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2010.09.26 20:43:38 | 000,001,576 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [2010.09.26 15:37:32 | 000,000,738 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\JDownloader.lnk [2010.09.23 17:29:52 | 000,239,499 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\nerd.jpg [2010.09.22 17:39:33 | 004,972,598 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\WC3.bmp [2010.04.21 17:54:16 | 000,000,224 | ---- | C] () -- C:\WINDOWS\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini [2010.04.16 22:26:30 | 000,041,872 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll [2010.01.23 23:41:30 | 000,139,456 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys [2010.01.23 23:41:30 | 000,138,056 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PnkBstrK.sys [2009.12.29 01:38:49 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV65.sys [2009.12.28 21:48:04 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2009.11.16 14:20:15 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2009.08.11 04:22:14 | 000,008,704 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.07.21 19:41:30 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2009.07.21 19:41:30 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2009.07.21 14:56:16 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\LXPRMON.DLL [2009.07.21 14:56:16 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\LXPMONUI.DLL [2009.07.21 14:56:16 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\LXPMONRC.DLL [2009.07.21 14:54:39 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxccvs.dll [2009.07.21 14:54:30 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\lxccjswr.dll [2009.07.21 14:54:29 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\lxccinsr.dll [2009.07.21 14:54:28 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\lxcccur.dll [2009.07.03 05:11:18 | 000,007,756 | ---- | C] () -- C:\WINDOWS\cadx2.ini [2008.06.27 17:18:04 | 000,262,216 | ---- | C] () -- C:\WINDOWS\System32\IPTests.dll [2007.11.06 22:19:28 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll [2007.08.08 18:54:10 | 000,028,968 | ---- | C] () -- C:\WINDOWS\System32\drivers\ATITool.sys [2004.04.18 17:43:46 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll [2004.04.18 17:43:44 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll ========== LOP Check ========== [2010.02.03 18:14:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BioWare [2010.09.26 20:43:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2009.12.28 21:54:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2009.12.28 21:49:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro [2010.08.08 14:26:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Locktime [2010.02.02 22:33:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NETGEAR [2010.07.10 21:33:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files [2009.07.21 19:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tages [2010.05.03 15:57:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tunngle [2010.09.26 20:43:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canneverbe Limited [2009.12.28 22:49:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools Lite [2009.12.28 21:48:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools Pro [2009.10.26 17:40:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Leadertech [2010.08.08 14:26:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Locktime [2010.05.15 15:10:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LolClient [2010.03.27 04:01:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1 [2010.01.23 00:00:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Meine Die Schlacht um Mittelerdeâ„¢ II-Dateien [2010.02.18 21:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien [2010.09.07 17:05:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mumble [2009.10.21 22:52:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Notepad++ [2009.09.16 16:57:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org [2010.03.12 19:31:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ProtectDisc [2010.05.03 17:36:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Tunngle [2009.08.16 14:05:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ubisoft [2010.04.17 17:47:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\XnView ========== Purity Check ========== < End of report > Code:
ATTFilter OTL Extras logfile created on: 26.09.2010 23:01:49 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\Haas\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 77,00% Memory free 5,00 Gb Paging File | 4,00 Gb Available in Paging File | 87,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 465,75 Gb Total Space | 346,89 Gb Free Space | 74,48% Space Free | Partition Type: NTFS Drive D: | 7,05 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF Drive E: | 585,49 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: haas Current User Name: Haas Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [Betrachten mit XnView] -- "C:\Programme\XnView\xnview.exe" "%1" (XnView, hxxp://www.xnview.com) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 "58360:TCP" = 58360:TCP:*:Enabled:Pando Media Booster "58360:UDP" = 58360:UDP:*:Enabled:Pando Media Booster [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 "DoNotAllowExceptions" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "135:TCP" = 135:TCP:*:Enabled:TCP Port 135 "5000:TCP" = 5000:TCP:*:Enabled:TCP Port 5000 "5001:TCP" = 5001:TCP:*:Enabled:TCP Port 5001 "5002:TCP" = 5002:TCP:*:Enabled:TCP Port 5002 "5003:TCP" = 5003:TCP:*:Enabled:TCP Port 5003 "5004:TCP" = 5004:TCP:*:Enabled:TCP Port 5004 "5005:TCP" = 5005:TCP:*:Enabled:TCP Port 5005 "5006:TCP" = 5006:TCP:*:Enabled:TCP Port 5006 "5007:TCP" = 5007:TCP:*:Enabled:TCP Port 5007 "5008:TCP" = 5008:TCP:*:Enabled:TCP Port 5008 "5009:TCP" = 5009:TCP:*:Enabled:TCP Port 5009 "5010:TCP" = 5010:TCP:*:Enabled:TCP Port 5010 "5011:TCP" = 5011:TCP:*:Enabled:TCP Port 5011 "5012:TCP" = 5012:TCP:*:Enabled:TCP Port 5012 "5013:TCP" = 5013:TCP:*:Enabled:TCP Port 5013 "5014:TCP" = 5014:TCP:*:Enabled:TCP Port 5014 "5015:TCP" = 5015:TCP:*:Enabled:TCP Port 5015 "5016:TCP" = 5016:TCP:*:Enabled:TCP Port 5016 "5017:TCP" = 5017:TCP:*:Enabled:TCP Port 5017 "5018:TCP" = 5018:TCP:*:Enabled:TCP Port 5018 "5019:TCP" = 5019:TCP:*:Enabled:TCP Port 5019 "5020:TCP" = 5020:TCP:*:Enabled:TCP Port 5020 "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "3724:TCP" = 3724:TCP:*:Enabled:Blizzard Downloader: 3724 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "8376:TCP" = 8376:TCP:*:Enabled:League of Legends Launcher "8376:UDP" = 8376:UDP:*:Enabled:League of Legends Launcher "8394:TCP" = 8394:TCP:*:Enabled:League of Legends Launcher "8394:UDP" = 8394:UDP:*:Enabled:League of Legends Launcher "58360:TCP" = 58360:TCP:*:Enabled:Pando Media Booster "58360:UDP" = 58360:UDP:*:Enabled:Pando Media Booster "6986:TCP" = 6986:TCP:*:Enabled:League of Legends Launcher "6986:UDP" = 6986:UDP:*:Enabled:League of Legends Launcher "6960:TCP" = 6960:TCP:*:Enabled:League of Legends Launcher "6960:UDP" = 6960:UDP:*:Enabled:League of Legends Launcher "6961:TCP" = 6961:TCP:*:Enabled:League of Legends Launcher "6961:UDP" = 6961:UDP:*:Enabled:League of Legends Launcher "6990:TCP" = 6990:TCP:*:Enabled:League of Legends Launcher "6990:UDP" = 6990:UDP:*:Enabled:League of Legends Launcher ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- () [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\lxcccoms.exe" = C:\WINDOWS\system32\lxcccoms.exe:*:Enabled:3300 Series Server -- (Lexmark International, Inc.) "C:\WINDOWS\system32\spool\drivers\w32x86\3\lxccpswx.exe" = C:\WINDOWS\system32\spool\drivers\w32x86\3\lxccpswx.exe:*:Enabled:3300 Series Printer Status -- () "C:\Programme\World of Warcraft\WoW-3.0.1-to-3.0.2-deDE-Win-Update-downloader.exe" = C:\Programme\World of Warcraft\WoW-3.0.1-to-3.0.2-deDE-Win-Update-downloader.exe:*:Enabled:Blizzard Downloader -- File not found "C:\Programme\World of Warcraft\Launcher.exe" = C:\Programme\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher -- File not found "C:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat" = C:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat:*:Enabled:Die Schlacht um Mittelerde™ II -- (Electronic Arts Inc.) "C:\Programme\Dragon Age\bin_ship\daorigins.exe" = C:\Programme\Dragon Age\bin_ship\daorigins.exe:*:Enabled:Dragon Age Origins -Spiel -- (BioWare) "C:\Programme\Dragon Age\DAOriginsLauncher.exe" = C:\Programme\Dragon Age\DAOriginsLauncher.exe:*:Enabled:Dragon Age Origins -Launcher -- (BioWare) "C:\Programme\Dragon Age\bin_ship\daupdatersvc.service.exe" = C:\Programme\Dragon Age\bin_ship\daupdatersvc.service.exe:*:Enabled:Dragon Age Origins -Inhaltsupdater -- (BioWare) "C:\Programme\Atari\Neverwinter Nights 2\nwn2main.exe" = C:\Programme\Atari\Neverwinter Nights 2\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main -- (Obsidian Entertainment, Inc.) "C:\Programme\Atari\Neverwinter Nights 2\nwn2main_amdxp.exe" = C:\Programme\Atari\Neverwinter Nights 2\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD -- (Obsidian Entertainment, Inc.) "C:\Programme\Atari\Neverwinter Nights 2\nwupdate.exe" = C:\Programme\Atari\Neverwinter Nights 2\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater -- (Obsidian Entertainment, Inc.) "C:\Programme\Atari\Neverwinter Nights 2\nwn2server.exe" = C:\Programme\Atari\Neverwinter Nights 2\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server -- (Obsidian Entertainment, Inc.) "C:\Riot Games\League of Legends\air\LolClient.exe" = C:\Riot Games\League of Legends\air\LolClient.exe:*:Enabled:League of Legends Lobby -- File not found "C:\Riot Games\League of Legends\game\League of Legends.exe" = C:\Riot Games\League of Legends\game\League of Legends.exe:*:Enabled:League of Legends Game Client -- File not found "C:\Dokumente und Einstellungen\Haas\Desktop\loleudownloader.exe" = C:\Dokumente und Einstellungen\Haas\Desktop\loleudownloader.exe:*:Enabled:LoL DE Downloader -- File not found "C:\Programme\League of Legends\Air\LolClient.exe" = C:\Programme\League of Legends\Air\LolClient.exe:*:Enabled:League of Legends Lobby -- (Adobe Systems Inc.) "C:\Programme\League of Legends\Game\League of Legends.exe" = C:\Programme\League of Legends\Game\League of Legends.exe:*:Enabled:League of Legends Game Client -- () "C:\Programme\Tunngle\TnglCtrl.exe" = C:\Programme\Tunngle\TnglCtrl.exe:*:Enabled:Tunngle Service -- (Tunngle.net GmbH) "C:\Programme\Tunngle\Tunngle.exe" = C:\Programme\Tunngle\Tunngle.exe:*:Enabled:Tunngle Client -- (Tunngle.net GmbH) "C:\Programme\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe" = C:\Programme\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe:*:Enabled:Ubisoft Game Launcher -- (Ubisoft) "C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- () "C:\Programme\QIP\qip.exe" = C:\Programme\QIP\qip.exe:*:Enabled:Quiet Internet Pager -- (The Author of QIP) "C:\Programme\Microsoft Games\Dungeon Siege 2\DungeonSiege2.exe" = C:\Programme\Microsoft Games\Dungeon Siege 2\DungeonSiege2.exe:*:Enabled:Dungeon Siege 2 Game Executable -- (Gas Powered Games) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404 "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{07300F01-89CA-4CF8-92BD-2A605EB83C95}" = EasySaver B9.0205.1 "{09801D34-8DE8-406A-BFD7-747AF74F5E6E}" = WhiteBoardMeeting "{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2 "{1C0E9C6B-D4D5-4D3C-8A10-F10A3E7BEEA5}" = WN111v2 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 21 "{26A24AE4-039D-4CA4-87B4-2F83216018F0}" = Java(TM) 6 Update 18 "{2A9F95AB-65A3-432c-8631-B8BC5BF7477A}" = Die Schlacht um Mittelerde™ II "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}" = Gigabyte Raid Configurer "{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404 "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{5DA8F6CD-C70E-39D8-8430-3D9808D6BD17}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411 "{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{789289CA-F73A-4A16-A331-54D498CE069F}" = Ventrilo Client "{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{888F1505-C2B3-4FDE-835D-36353EBD4754}" = Ubisoft Game Launcher "{8A74DEFD-A224-49CC-AB80-4E88BC730125}" = LogMeIn Hamachi "{96C39A4E-8636-439B-B439-02E908C05A2A}" = League of Legen "{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9C916142-C18C-429D-BFED-40094A7E0BEB}" = Die Siedler 7 "{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A498D9EB-927B-459B-85D6-DD6EF8C2C564}" = erLT "{A563C4F4-BE36-4956-BA0B-E02BDD9F70D5}" = Dungeon Siege 2 Broken World "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch "{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint "{AEC81925-9C76-4707-84A9-40696C613ED3}" = Dragon Age: Origins "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "{DEA314C4-0929-4250-BC92-98E4C105F28D}" = NVIDIA PhysX "{E8AEA11B-E60A-455E-B008-E4E763604612}" = Browser Configuration Utility "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F20C1251-1D0A-4944-B2AE-678581B33B19}" = Neverwinter Nights 2 "{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software "ATITool" = ATITool Overclocking Utility "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CCleaner" = CCleaner "Drakensang_is1" = Drakensang (Patch Version 1.02) "DungeonSiege2" = Dungeon Siege 2 "EVEREST Home Edition_is1" = EVEREST Home Edition v2.20 "Exact Audio Copy" = Exact Audio Copy 0.99pb5 "EXPERTool_is1" = EXPERTool 7.5 "Garena" = Garena 2010 "GeoGebra" = GeoGebra "hon" = Heroes of Newerth "JDownloader" = JDownloader "Lexmark 3300 Series" = Lexmark 3300 Series "Lexmark Fax Solutions" = Lexmark Fax-Lösungen "LogMeIn Hamachi" = LogMeIn Hamachi "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10) "Mumble" = Mumble and Murmur "Notepad++" = Notepad++ "NVIDIA Display Control Panel" = NVIDIA Display Control Panel "NVIDIA Drivers" = NVIDIA Drivers "NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager "oZone3D.Net FurMark_is1" = oZone3D.Net FurMark v1.6.5 "Pizza Syndicate" = Pizza Syndicate deinstallieren "ProtectDisc Driver 11" = ProtectDisc Driver, Version 11 "PunkBusterSvc" = PunkBuster Services "Savage2" = Savage 2 - A Tortured Soul "StarCraft II" = StarCraft II "SystemRequirementsLab" = System Requirements Lab "Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2 "TeamSpeak 3 Client" = TeamSpeak 3 Client "Tunngle beta_is1" = Tunngle beta "VLC media player" = VLC media player 1.0.3 "Warkeys" = Warkeys 1.14.1.0b "Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 "Wiggles" = Wiggles "WinPcapInst" = WinPcap 4.0.2 "WinRAR archiver" = WinRAR "Xfire" = Xfire (remove only) "XnView_is1" = XnView 1.97.2 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "QIP 2005" = QIP 2005 8095 "Warcraft III" = Warcraft III: All Products "World of Logs Client" = World of Logs Client ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 10.03.2010 10:50:49 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung nwn2main.exe, Version 1.0.23.1765, fehlgeschlagenes Modul nwn2main.exe, Version 1.0.23.1765, Fehleradresse 0x00105785. Error - 11.03.2010 11:44:19 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung nwn2main.exe, Version 1.0.23.1765, fehlgeschlagenes Modul nwn2main.exe, Version 1.0.23.1765, Fehleradresse 0x00101b24. Error - 11.03.2010 18:36:47 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung nwn2main.exe, Version 1.0.23.1765, fehlgeschlagenes Modul nwn2main.exe, Version 1.0.23.1765, Fehleradresse 0x00101b24. Error - 11.03.2010 19:10:02 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung nwn2main.exe, Version 1.0.23.1765, fehlgeschlagenes Modul nwn2main.exe, Version 1.0.23.1765, Fehleradresse 0x0026df88. Error - 12.03.2010 14:30:57 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung drakensang.exe, Version 0.0.0.0, fehlgeschlagenes Modul drakensang.exe, Version 0.0.0.0, Fehleradresse 0x002d8e42. Error - 12.03.2010 14:31:28 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung drakensang.exe, Version 0.0.0.0, fehlgeschlagenes Modul drakensang.exe, Version 0.0.0.0, Fehleradresse 0x002d8e42. Error - 12.03.2010 14:58:26 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung drakensang.exe, Version 0.0.0.0, fehlgeschlagenes Modul drakensang.exe, Version 0.0.0.0, Fehleradresse 0x002d8e42. Error - 16.03.2010 08:43:20 | Computer Name = *** | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 22.03.2010 17:24:36 | Computer Name = *** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung drakensang.exe, Version 0.0.0.0, fehlgeschlagenes Modul drakensang.exe, Version 0.0.0.0, Fehleradresse 0x002d37be. Error - 23.03.2010 12:15:32 | Computer Name = *** | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . [ System Events ] Error - 26.09.2010 14:22:13 | Computer Name = *** | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 26.09.2010 14:22:13 | Computer Name = *** | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 26.09.2010 14:22:13 | Computer Name = *** | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 26.09.2010 14:22:13 | Computer Name = *** | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 26.09.2010 14:22:13 | Computer Name = *** | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 26.09.2010 14:22:13 | Computer Name = *** | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 26.09.2010 14:22:13 | Computer Name = *** | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 26.09.2010 14:22:13 | Computer Name = *** | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 26.09.2010 14:22:14 | Computer Name = *** | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: %%126 Error - 26.09.2010 15:55:37 | Computer Name = *** | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet: %%183 < End of report > |
27.09.2010, 00:26 | #8 |
| Trojaner TR/Swizzor.xec Hatte vergessen Malwarebytes zu updaten und hatte stattdessen nur Antivir geupdatet. Hier ein Quick-Scan mit der aktuellen Version - falls benötigt kann ich morgen noch einen vollständigen Scan nachtragen. Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4700 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 27.09.2010 01:26:03 mbam-log-2010-09-27 (01-26-03).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 137744 Laufzeit: 3 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
27.09.2010, 15:45 | #9 |
| Trojaner TR/Swizzor.xec Hier der Full-Scan von Malwarebyte's - ist das normal, dass auf ein mal nichts mehr gefunden wird? Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4703 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 27.09.2010 16:33:48 mbam-log-2010-09-27 (16-33-48).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 234430 Laufzeit: 53 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
27.09.2010, 16:46 | #10 |
| Trojaner TR/Swizzor.xec Hallo
Code:
ATTFilter :OTL DRV - (PCD65X3) -- C:\DOKUME~1\***\LOKALE~1\Temp\PCD65X3.sys File not found DRV - (PCD65X2) -- C:\DOKUME~1\***\LOKALE~1\Temp\PCD65X2.sys File not found DRV - (GarenaPEngine) -- C:\DOKUME~1\***\LOKALE~1\Temp\TUI87.tmp File not found DRV - (SSHDRV65) -- C:\WINDOWS\system32\drivers\SSHDRV65.sys () O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [nwiz] File not found O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} ***://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Reg Error: Key error.) O32 - AutoRun File - [2010.05.25 06:16:57 | 000,000,046 | RH-- | M] () - D:\autorun.inf -- [ UDF ] O32 - AutoRun File - [2005.06.09 12:03:41 | 000,000,203 | R--- | M] () - E:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell - "" = AutoRun O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell\AutoRun\command - "" = E:\Setup.Exe -- [2005.07.16 21:04:38 | 000,581,632 | R--- | M] (Microsoft Corporation) O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell\directx\command - "" = E:\DirectX\dxsetup.exe -- [2004.07.09 14:08:36 | 000,472,576 | R--- | M] (Microsoft Corporation) O33 - MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\Shell\setup\command - "" = E:\Setup.Exe -- [2005.07.16 21:04:38 | 000,581,632 | R--- | M] (Microsoft Corporation) :Commands [purity] [emptytemp] [reboot]
Anschließend lass bitte Combofix laufen ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Poste bitte ebenfalls das entstandene Log hierher. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
27.09.2010, 19:24 | #11 |
| Trojaner TR/Swizzor.xec Hi, hier die nächsten 2 Logs: OTL Code:
ATTFilter All processes killed ========== OTL ========== Service PCD65X3 stopped successfully! Service PCD65X3 deleted successfully! File C:\DOKUME~1\***\LOKALE~1\Temp\PCD65X3.sys File not found not found. Service PCD65X2 stopped successfully! Service PCD65X2 deleted successfully! File C:\DOKUME~1\***\LOKALE~1\Temp\PCD65X2.sys File not found not found. Service GarenaPEngine stopped successfully! Service GarenaPEngine deleted successfully! File C:\DOKUME~1\***\LOKALE~1\Temp\TUI87.tmp File not found not found. Service SSHDRV65 stopped successfully! Service SSHDRV65 deleted successfully! C:\WINDOWS\system32\drivers\SSHDRV65.sys moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nwiz deleted successfully. Starting removal of ActiveX control {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}\ not found. File move failed. D:\autorun.inf scheduled to be moved on reboot. File move failed. E:\autorun.inf scheduled to be moved on reboot. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ not found. File E:\Setup.Exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ not found. File E:\DirectX\dxsetup.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b04e2b17-2e05-11df-91ee-0026f2a1053e}\ not found. File E:\Setup.Exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 989358 bytes ->FireFox cache emptied: 5754153 bytes ->Flash cache emptied: 405 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56504 bytes User: *** ->Temp folder emptied: 396257109 bytes ->Temporary Internet Files folder emptied: 27742346 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 50502472 bytes ->Flash cache emptied: 60210 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2552906 bytes %systemroot%\System32 .tmp files removed: 861063 bytes %systemroot%\System32\dllcache .tmp files removed: 243200 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 98304 bytes RecycleBin emptied: 120777 bytes Total Files Cleaned = 463,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 09272010_183640 Files\Folders moved on Reboot... File move failed. D:\autorun.inf scheduled to be moved on reboot. File\Folder E:\autorun.inf not found! Registry entries deleted on Reboot... Code:
ATTFilter ComboFix 10-09-26.04 - *** 27.09.2010 20:12:57.1.4 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3326.2900 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\***\EnhSim.dll c:\dokumente und einstellungen\***\EnhSim.exe c:\dokumente und einstellungen\***\EnhSimDLL.dll C:\Install.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-08-27 bis 2010-09-27 )))))))))))))))))))))))))))))) . 2010-09-27 16:36 . 2010-09-27 16:36 -------- d-----w- C:\_OTL 2010-09-27 12:14 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll 2010-09-26 23:11 . 2010-09-26 23:16 -------- d-----w- c:\programme\GPU-Z 2010-09-26 23:11 . 2010-09-26 23:11 -------- d-----w- c:\programme\HoN_ModMan 2010-09-26 23:10 . 2010-09-26 23:10 -------- d-----w- c:\programme\Leatrix Latency Fix 1.18 2010-09-26 23:09 . 2010-09-26 23:10 -------- d-----w- c:\programme\OTL 2010-09-26 22:58 . 2010-09-26 22:58 -------- d-----w- c:\programme\Mozilla Firefox 4.0 Beta 6 2010-09-26 22:56 . 2010-09-26 22:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2010-09-26 22:32 . 2010-09-26 22:32 -------- d-----w- c:\programme\Microsoft.NET 2010-09-26 22:31 . 2010-09-26 22:31 -------- d-----w- c:\windows\system32\winrm 2010-09-26 22:31 . 2010-09-26 22:31 -------- dc-h--w- c:\windows\$968930Uinstall_KB968930$ 2010-09-26 22:31 . 2010-09-26 22:31 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Windows Search 2010-09-26 22:31 . 2010-09-27 12:12 -------- d-----w- c:\programme\Windows Desktop Search 2010-09-26 22:31 . 2010-09-26 22:31 -------- d-----w- c:\windows\system32\GroupPolicy 2010-09-26 22:23 . 2010-09-27 12:12 -------- d-----w- c:\programme\Microsoft Silverlight 2010-09-26 22:17 . 2010-09-26 22:17 -------- d-sh--w- c:\dokumente und einstellungen\***\PrivacIE 2010-09-26 22:05 . 2010-09-26 22:05 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache 2010-09-26 22:04 . 2010-09-26 22:04 -------- d-sh--w- c:\dokumente und einstellungen\***\IETldCache 2010-09-26 21:56 . 2010-09-26 21:56 232968 ----a-w- c:\windows\system32\nvdrsdb0.bin 2010-09-26 21:56 . 2010-09-26 21:56 1 ----a-w- c:\windows\system32\nvdrssel.bin 2010-09-26 21:56 . 2010-09-26 21:56 232968 ----a-w- c:\windows\system32\nvdrsdb1.bin 2010-09-26 21:55 . 2010-09-26 21:55 -------- d-----w- c:\dokumente und einstellungen\***\Tracing 2010-09-26 21:55 . 2008-04-14 12:00 26624 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll 2010-09-26 21:54 . 2010-09-26 21:54 -------- d-----w- c:\programme\Windows Media Connect 2 2010-09-26 21:53 . 2010-09-26 21:53 -------- d-----w- c:\windows\system32\drivers\UMDF 2010-09-26 21:50 . 2010-09-26 21:50 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live 2010-09-26 21:44 . 2010-09-26 22:55 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_20\gtapi.dll 2010-09-26 21:44 . 2010-09-26 22:55 152576 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_20\lzma.dll 2010-09-26 21:39 . 2010-09-26 22:12 -------- d-----w- c:\windows\ie8updates 2010-09-26 21:39 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll 2010-09-26 21:39 . 2010-09-26 21:39 -------- d-----w- c:\programme\PDFCreator 2010-09-26 21:39 . 1998-07-06 16:56 125712 ----a-w- c:\windows\system32\VB6DE.DLL 2010-09-26 21:39 . 1998-07-06 16:55 158208 ----a-w- c:\windows\system32\MSCMCDE.DLL 2010-09-26 21:39 . 1998-07-06 16:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL 2010-09-26 21:39 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL 2010-09-26 21:39 . 2010-09-26 21:39 -------- dc-h--w- c:\windows\ie8 2010-09-26 21:36 . 2010-06-18 11:39 16896 -c----w- c:\windows\system32\dllcache\iecompat.dll 2010-09-26 21:36 . 2010-06-24 12:21 599040 -c----w- c:\windows\system32\dllcache\msfeeds.dll 2010-09-26 21:36 . 2010-06-24 12:21 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll 2010-09-26 21:36 . 2010-06-24 12:22 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll 2010-09-26 21:36 . 2010-06-24 12:21 1986560 -c----w- c:\windows\system32\dllcache\iertutil.dll 2010-09-26 21:36 . 2010-06-24 12:21 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll 2010-09-26 21:36 . 2010-06-24 12:21 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll 2010-09-26 21:36 . 2010-06-24 15:51 11077120 -c----w- c:\windows\system32\dllcache\ieframe.dll 2010-09-26 21:28 . 2010-09-26 21:28 -------- d-----w- c:\programme\FileHippo.com 2010-09-26 21:27 . 2010-09-26 21:27 -------- d-----w- c:\programme\Secunia 2010-09-26 18:43 . 2010-09-26 18:43 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe Limited 2010-09-26 18:43 . 2010-09-26 18:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited 2010-09-26 18:43 . 2009-11-12 12:48 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys 2010-09-26 18:43 . 2010-09-26 18:43 -------- d-----w- c:\programme\CDBurnerXP 2010-09-26 17:38 . 2010-09-26 17:38 98304 ----a-w- c:\windows\system32\CmdLineExt.dll 2010-09-26 17:20 . 2010-09-26 17:20 -------- d-----w- c:\programme\2K Games 2010-09-26 17:11 . 2010-09-26 17:11 -------- d-----w- c:\programme\Microsoft Games 2010-09-26 13:37 . 2010-09-26 13:39 -------- d-----w- c:\programme\JDownloader 2010-09-25 01:48 . 2010-09-25 01:48 -------- d-----w- c:\programme\Panda Security 2010-09-25 01:32 . 2010-09-26 12:18 -------- d-----w- c:\windows\system32\NtmsData 2010-09-09 19:34 . 2010-09-09 19:34 46852 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment\Battle.net\Cache\Download\Scan.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-27 18:08 . 2009-07-18 13:05 16608 ----a-w- c:\windows\gdrv.sys 2010-09-27 18:07 . 2010-05-04 13:05 0 ----a-w- c:\windows\system32\Access.dat 2010-09-27 18:02 . 2009-10-21 21:14 -------- d-----w- c:\programme\CCleaner 2010-09-27 17:59 . 2009-11-17 12:28 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Skype 2010-09-27 17:58 . 2009-07-21 13:25 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM 2010-09-27 16:36 . 2008-04-14 12:00 90518 ----a-w- c:\windows\system32\perfc007.dat 2010-09-27 16:36 . 2008-04-14 12:00 491998 ----a-w- c:\windows\system32\perfh007.dat 2010-09-27 14:53 . 2010-03-27 18:42 -------- d-----w- c:\programme\League of Legends 2010-09-26 22:56 . 2009-11-17 12:27 -------- d-----r- c:\programme\Skype 2010-09-26 22:56 . 2009-07-21 13:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2010-09-26 22:19 . 2010-03-25 23:04 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR 2010-09-26 22:15 . 2009-09-16 15:00 1 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-09-26 21:57 . 2009-08-16 12:52 -------- d-----w- c:\programme\NVIDIA Corporation 2010-09-26 21:55 . 2009-07-18 13:06 19448 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-09-26 21:51 . 2009-09-16 12:20 -------- d-----w- c:\programme\OpenOffice.org 3 2010-09-26 21:45 . 2010-04-17 15:42 -------- d-----w- c:\programme\XnView 2010-09-26 21:44 . 2009-09-16 12:20 -------- d-----w- c:\programme\Java 2010-09-26 21:40 . 2009-10-21 20:51 -------- d-----w- c:\programme\Notepad++ 2010-09-26 21:40 . 2009-10-21 20:51 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Notepad++ 2010-09-26 18:49 . 2009-12-11 22:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\vlc 2010-09-26 17:20 . 2009-07-18 13:06 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-09-25 02:14 . 2009-07-21 13:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-09-22 17:05 . 2009-07-21 17:17 -------- d-----w- c:\programme\Warcraft III 2010-09-20 15:21 . 2009-07-21 12:55 -------- d-----w- c:\programme\Lx_cats 2010-09-16 22:04 . 2010-01-27 13:17 -------- d-----w- c:\programme\Joh 2010-09-07 15:05 . 2009-10-21 14:22 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mumble 2010-08-28 16:08 . 2010-08-28 16:08 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2010-08-28 16:08 . 2010-08-28 16:08 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-08-28 16:08 . 2010-08-28 16:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-08-24 15:12 . 2009-10-20 14:34 -------- d-----w- c:\programme\Heroes of Newerth 2010-08-18 20:08 . 2010-08-08 16:09 -------- d-----w- c:\programme\StarCraft II 2010-08-17 13:17 . 2008-04-14 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-08-16 17:45 . 2010-05-03 13:49 -------- d-----w- c:\programme\Garena 2010-08-10 16:18 . 2009-12-30 13:02 -------- d-----w- c:\programme\TeamSpeak 3 Client 2010-08-09 09:53 . 2010-08-09 03:14 -------- d-----w- c:\programme\SC2-WingsOfLiberty-enGB-Installer 2010-08-08 17:21 . 2009-08-20 12:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment 2010-08-08 17:21 . 2009-07-21 13:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment 2010-08-08 12:26 . 2010-08-08 12:26 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Locktime 2010-08-08 12:26 . 2010-08-08 12:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Locktime 2010-08-04 15:13 . 2010-08-04 15:13 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-08-04 14:06 . 2010-08-04 14:06 503808 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5872f9fd-n\msvcp71.dll 2010-08-04 14:06 . 2010-08-04 14:06 499712 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5872f9fd-n\jmc.dll 2010-08-04 14:06 . 2010-08-04 14:06 348160 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5872f9fd-n\msvcr71.dll 2010-08-04 14:06 . 2010-08-04 14:06 61440 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-4ec3ccd4-n\decora-sse.dll 2010-08-04 14:06 . 2010-08-04 14:06 12800 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-4ec3ccd4-n\decora-d3d.dll 2010-07-22 15:48 . 2008-04-14 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll 2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-07-17 03:00 . 2010-04-26 16:16 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-07-09 22:38 . 2010-05-30 11:58 61440 ----a-w- c:\windows\system32\OpenCL.dll 2010-07-09 22:38 . 2010-05-30 11:58 2914408 ----a-w- c:\windows\system32\nvcuvid.dll 2010-07-09 22:38 . 2010-05-30 11:58 2506344 ----a-w- c:\windows\system32\nvcuvenc.dll 2010-07-09 22:38 . 2010-05-30 11:58 13549568 ----a-w- c:\windows\system32\nvoglnt.dll 2010-07-09 22:38 . 2010-05-30 11:58 4595712 ----a-w- c:\windows\system32\nvcuda.dll 2010-07-09 22:38 . 2010-05-30 11:58 10260480 ----a-w- c:\windows\system32\nvcompiler.dll 2010-07-09 22:38 . 2010-05-30 11:58 236136 ----a-w- c:\windows\system32\nvcodins.dll 2010-07-09 22:38 . 2010-05-30 11:58 236136 ----a-w- c:\windows\system32\nvcod.dll 2010-07-09 22:38 . 2010-05-30 11:58 2195030 ----a-w- c:\windows\system32\nvdata.bin 2010-07-09 22:38 . 2010-05-30 11:58 1388544 ----a-w- c:\windows\system32\nvapi.dll 2010-07-09 22:38 . 2009-03-08 08:37 6343040 ----a-w- c:\windows\system32\nv4_disp.dll 2010-07-09 22:38 . 2009-03-08 08:37 10604128 ----a-w- c:\windows\system32\drivers\nv4_mini.sys 2010-07-09 14:24 . 2010-07-09 14:24 81920 ----a-w- c:\windows\system32\nvwddi.dll 2010-07-09 14:24 . 2010-07-09 14:24 277608 ----a-w- c:\windows\system32\nvmccs.dll 2010-07-09 14:24 . 2010-07-09 14:24 110696 ----a-w- c:\windows\system32\nvmctray.dll 2010-07-09 14:24 . 2010-07-09 14:24 155752 ----a-w- c:\windows\system32\nvsvc32.exe 2010-07-09 14:24 . 2010-07-09 14:24 145000 ----a-w- c:\windows\system32\nvcolor.exe 2010-07-09 14:24 . 2010-07-09 14:24 13923432 ----a-w- c:\windows\system32\nvcpl.dll 2010-06-30 12:28 . 2008-04-14 12:00 149504 ----a-w- c:\windows\system32\schannel.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GAINWARD"="c:\programme\EXPERTool\TBPanel.exe" [2009-05-12 2181672] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864] "JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "LXCCCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll" [2005-07-20 73728] "FaxCenterServer"="c:\programme\Lexmark Fax Solutions\fm3032.exe" [2005-07-12 299008] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] "LogMeIn Hamachi Ui"="c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ NETGEAR WN111v2 Setup-Assistent.lnk - c:\programme\NETGEAR\WN111v2\WN111V2.exe [2009-3-25 1523770] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-06-09 08:06 976832 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-06-20 02:04 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2010-04-01 09:16 357696 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui] 2010-03-30 09:16 1820040 ----a-w- c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxccmon.exe] 2005-07-21 00:16 192512 ----a-w- c:\programme\Lexmark 3300 Series\LXCCmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "PnkBstrA"=2 (0x2) "nvsvc"=2 (0x2) "Hamachi2Svc"=2 (0x2) "npggsvc"=3 (0x3) "VC10SecS"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\lxcccoms.exe"= "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxccpswx.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Dragon Age\\bin_ship\\daorigins.exe"= "c:\\Programme\\Dragon Age\\DAOriginsLauncher.exe"= "c:\\Programme\\Dragon Age\\bin_ship\\daupdatersvc.service.exe"= "c:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2main.exe"= "c:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"= "c:\\Programme\\Atari\\Neverwinter Nights 2\\nwupdate.exe"= "c:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2server.exe"= "c:\\Programme\\League of Legends\\Air\\LolClient.exe"= "c:\\Programme\\League of Legends\\Game\\League of Legends.exe"= "c:\\Programme\\Tunngle\\TnglCtrl.exe"= "c:\\Programme\\Tunngle\\Tunngle.exe"= "c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"= "c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"= "c:\\Programme\\QIP\\qip.exe"= "c:\\Programme\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "135:TCP"= 135:TCP:TCP Port 135 "5000:TCP"= 5000:TCP:TCP Port 5000 "5001:TCP"= 5001:TCP:TCP Port 5001 "5002:TCP"= 5002:TCP:TCP Port 5002 "5003:TCP"= 5003:TCP:TCP Port 5003 "5004:TCP"= 5004:TCP:TCP Port 5004 "5005:TCP"= 5005:TCP:TCP Port 5005 "5006:TCP"= 5006:TCP:TCP Port 5006 "5007:TCP"= 5007:TCP:TCP Port 5007 "5008:TCP"= 5008:TCP:TCP Port 5008 "5009:TCP"= 5009:TCP:TCP Port 5009 "5010:TCP"= 5010:TCP:TCP Port 5010 "5011:TCP"= 5011:TCP:TCP Port 5011 "5012:TCP"= 5012:TCP:TCP Port 5012 "5013:TCP"= 5013:TCP:TCP Port 5013 "5014:TCP"= 5014:TCP:TCP Port 5014 "5015:TCP"= 5015:TCP:TCP Port 5015 "5016:TCP"= 5016:TCP:TCP Port 5016 "5017:TCP"= 5017:TCP:TCP Port 5017 "5018:TCP"= 5018:TCP:TCP Port 5018 "5019:TCP"= 5019:TCP:TCP Port 5019 "5020:TCP"= 5020:TCP:TCP Port 5020 "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 "8376:TCP"= 8376:TCP:League of Legends Launcher "8376:UDP"= 8376:UDP:League of Legends Launcher "8394:TCP"= 8394:TCP:League of Legends Launcher "8394:UDP"= 8394:UDP:League of Legends Launcher "58360:TCP"= 58360:TCP:Pando Media Booster "58360:UDP"= 58360:UDP:Pando Media Booster "6986:TCP"= 6986:TCP:League of Legends Launcher "6986:UDP"= 6986:UDP:League of Legends Launcher "6960:TCP"= 6960:TCP:League of Legends Launcher "6960:UDP"= 6960:UDP:League of Legends Launcher "6961:TCP"= 6961:TCP:League of Legends Launcher "6961:UDP"= 6961:UDP:League of Legends Launcher "6990:TCP"= 6990:TCP:League of Legends Launcher "6990:UDP"= 6990:UDP:League of Legends Launcher "5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 20:31 277544] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.07.2009 14:29 135336] R2 ES lite Service;ES lite Service for program management.;c:\programme\Gigabyte\EasySaver\essvr.exe [18.07.2009 15:06 68136] R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 11:16 1107336] R2 TunngleService;TunngleService;c:\programme\Tunngle\TnglCtrl.exe [03.05.2010 15:57 704760] R3 JSWSCIMD;jswscimd Service;c:\windows\system32\drivers\jswscimd.sys [01.10.2008 17:45 57440] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384] S3 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater;c:\programme\Dragon Age\bin_ship\daupdatersvc.service.exe [03.02.2010 17:59 25832] S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.sys [24.07.2003 13:10 17149] S3 jswpsapi;Jumpstart Wifi Protected Setup;c:\programme\NETGEAR\WN111v2\jswpsapi.exe [27.02.2008 12:54 360547] S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064] S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [28.05.2010 13:04 14896] S3 tap0901t;TAP-Win32 Adapter V9 (Tunngle);c:\windows\system32\drivers\tap0901t.sys [03.05.2010 15:57 27136] S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [14.04.2008 14:00 14336] S3 WN111v2;NETGEAR WN111v2 USB2.0 Wireless Card Service;c:\windows\system32\drivers\WN111v2.sys [14.01.2009 03:23 458752] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504] S4 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.12.2009 21:48 691696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] WINRM REG_MULTI_SZ WINRM . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://google.de/ uDefault_Search_URL = hxxp://search.qip.ru uSearchAssistant = hxxp://search.qip.ru/ie uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} - hxxps://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.27.0.cab FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kq69kj9v.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - google.de FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npnul32.dll FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-VC10Player - c:\programme\Virtual CD v10\System\VC10Play.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-27 20:15 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run LXCCCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10j_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10j_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . Zeit der Fertigstellung: 2010-09-27 20:16:10 ComboFix-quarantined-files.txt 2010-09-27 18:16 Vor Suchlauf: 12 Verzeichnis(se), 369.328.959.488 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 369.282.527.232 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer - - End Of File - - 6F7F85154059EDAD8424AA383BBF2B06 |
28.09.2010, 17:53 | #12 |
| Trojaner TR/Swizzor.xec
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
29.09.2010, 18:41 | #13 |
| Trojaner TR/Swizzor.xec Hi, der Scan hatte etwas länger gedauert als erwartet, etwas verspätet, dennoch auch hier wieder die 2 logs: GMER Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-09-29 19:24:02 Windows 5.1.2600 Service Pack 3 Running: f5kdxfsn.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pxtdypow.sys ---- System - GMER 1.0.15 ---- SSDT B877417E ZwCreateKey SSDT B8774174 ZwCreateThread SSDT B8774183 ZwDeleteKey SSDT B877418D ZwDeleteValueKey SSDT spsa.sys ZwEnumerateKey [0xB7EC5DA4] SSDT spsa.sys ZwEnumerateValueKey [0xB7EC6132] SSDT B8774192 ZwLoadKey SSDT spsa.sys ZwOpenKey [0xB7EA70C0] SSDT B8774160 ZwOpenProcess SSDT B8774165 ZwOpenThread SSDT spsa.sys ZwQueryKey [0xB7EC620A] SSDT spsa.sys ZwQueryValueKey [0xB7EC608A] SSDT B877419C ZwReplaceKey SSDT B8774197 ZwRestoreKey SSDT B8774188 ZwSetValueKey INT 0x63 ? 8AFC8BF8 INT 0x63 ? 8AFC8BF8 INT 0x73 ? 8AF56F00 INT 0x73 ? 8AD07BF8 INT 0x73 ? 8AD07BF8 INT 0x73 ? 8AF56F00 INT 0x83 ? 8AD07BF8 INT 0x83 ? 8AD07BF8 INT 0x83 ? 8AD07BF8 INT 0xA4 ? 8AD07BF8 INT 0xB4 ? 8AD07BF8 ---- Kernel code sections - GMER 1.0.15 ---- ? spsa.sys Das System kann die angegebene Datei nicht finden. ! .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB315C3A0, 0x59FFE5, 0xE8000020] .text USBPORT.SYS!DllUnload B30FC8AC 5 Bytes JMP 8AD071D8 .text a7gvoar2.SYS B3083386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...] .text a7gvoar2.SYS B30833AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...] .text a7gvoar2.SYS B30833C4 3 Bytes [00, 80, 02] .text a7gvoar2.SYS B30833C9 1 Byte [30] .text a7gvoar2.SYS B30833C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL} .text ... .text win32k.sys!FONTOBJ_pxoGetXform + 108AC BF85FA00 1 Byte [00] .text win32k.sys!FONTOBJ_pxoGetXform + 108AC BF85FA00 142 Bytes [00, 00, C0, EB, D7, 53, 56, ...] .text win32k.sys!FONTOBJ_pxoGetXform + 1093B BF85FA8F 43 Bytes [00, 39, 9E, 98, 00, 00, 00, ...] .text win32k.sys!FONTOBJ_pxoGetXform + 10968 BF85FABC 77 Bytes [01, 77, 44, 3B, 05, A0, D5, ...] .text win32k.sys!FONTOBJ_pxoGetXform + 109B6 BF85FB0A 10 Bytes [3B, C3, 74, 12, 66, FF, 80, ...] .text ... .text win32k.sys!EngStretchBlt + 23 BF862161 2 Bytes [45, 08] .text win32k.sys!EngStretchBlt + 26 BF862164 70 Bytes [55, 0C, 8D, 48, F0, F7, D8, ...] .text win32k.sys!EngStretchBlt + 6D BF8621AB 42 Bytes [73, 3C, 83, FE, 09, 0F, 84, ...] .text win32k.sys!EngStretchBlt + 98 BF8621D6 143 Bytes [8B, 4E, 04, 3B, 4E, 0C, 0F, ...] .text win32k.sys!EngStretchBlt + 128 BF862266 1 Byte [08] .text ... .text win32k.sys!EngCreatePalette + 54 BF866231 5 Bytes [8B, 18, 83, 65, F8] .text win32k.sys!EngCreatePalette + 5A BF866237 14 Bytes [85, F6, 74, 0B, 68, 02, 00, ...] .text win32k.sys!EngCreatePalette + 69 BF866246 37 Bytes CALL BF82E242 \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngCreatePalette + 90 BF86626D 4 Bytes [3D, 9D, 02, 00] .text win32k.sys!EngCreatePalette + 95 BF866272 30 Bytes [74, 14, F6, 41, 1E, 40, 8B, ...] .text ... .text win32k.sys!EngCreateSemaphore + 1E BF86C8D9 46 Bytes [35, 80, C2, 9A, BF, FF, 15, ...] .text win32k.sys!EngCreateSemaphore + 4D BF86C908 52 Bytes [C1, C1, E0, 04, 03, 05, 48, ...] .text win32k.sys!EngCreateSemaphore + 82 BF86C93D 51 Bytes [F8, F3, A5, 33, C9, 5F, 66, ...] .text win32k.sys!EngCreateSemaphore + B6 BF86C971 14 Bytes [55, 8B, EC, 8B, 01, 5D, FF, ...] {PUSH EBP; MOV EBP, ESP; MOV EAX, [ECX]; POP EBP; JMP [EAX+0x59c]; NOP ; NOP } .text win32k.sys!EngCreateSemaphore + C7 BF86C982 5 Bytes [8B, FF, 55, 8B, EC] {MOV EDI, EDI; PUSH EBP; MOV EBP, ESP} .text ... .text win32k.sys!EngEraseSurface + 17 BF86FE57 12 Bytes [4E, 1C, 6A, 00, 6A, 00, 89, ...] .text win32k.sys!EngEraseSurface + 24 BF86FE64 6 Bytes CALL BF8053BE \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngEraseSurface + 2B BF86FE6B 147 Bytes [FF, 75, 10, 6A, 00, FF, 75, ...] .text win32k.sys!EngEraseSurface + BF BF86FEFF 12 Bytes [85, 68, FE, FF, FF, 8D, 85, ...] .text win32k.sys!EngEraseSurface + CC BF86FF0C 1 Byte [6C] .text ... .text win32k.sys!EngCreateDeviceSurface + 12F BF875C06 35 Bytes [9D, D0, 01, 00, 8B, 45, F0, ...] .text win32k.sys!EngCreateDeviceSurface + 153 BF875C2A 93 Bytes CALL 48875C2F .text win32k.sys!EngCreateDeviceSurface + 1B3 BF875C8A 70 Bytes CALL 48875C94 .text win32k.sys!EngCreateDeviceSurface + 1FB BF875CD2 30 Bytes [8B, 87, A8, 06, 00, 00, 89, ...] .text win32k.sys!EngCreateDeviceSurface + 21A BF875CF1 94 Bytes CALL 4A875CF7 .text ... .text win32k.sys!EngGetCurrentCodePage + 35 BF8798D6 24 Bytes [FF, FF, 8B, B5, 38, FF, FF, ...] .text win32k.sys!EngGetCurrentCodePage + 4E BF8798EF 30 Bytes CALL BF80179B \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngGetCurrentCodePage + 6E BF87990F 42 Bytes JMP BF879AE1 \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngGetCurrentCodePage + 99 BF87993A 78 Bytes JMP BF879AE5 \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngGetCurrentCodePage + E9 BF87998A 20 Bytes [FF, 89, 5D, FC, 8B, 45, 0C, ...] .text ... .text win32k.sys!EngFntCacheLookUp + 3D BF8872C8 26 Bytes [33, C0, EB, F6, 8B, 4D, 1C, ...] .text win32k.sys!EngFntCacheLookUp + 58 BF8872E3 34 Bytes [03, 02, 83, C2, 04, EB, EF, ...] .text win32k.sys!EngFntCacheLookUp + 7C BF887307 12 Bytes [8B, 0C, 91, 8B, 71, 10, 03, ...] .text win32k.sys!EngFntCacheLookUp + 89 BF887314 70 Bytes [00, 03, 31, 69, F6, 01, 01, ...] .text win32k.sys!EngFntCacheLookUp + D1 BF88735C 26 Bytes [50, 08, 3B, 51, 10, 73, EB, ...] .text ... .text win32k.sys!EngFntCacheAlloc + 79 BF8877A0 19 Bytes [CB, 2B, 4A, 14, 89, 48, 14, ...] {RETF ; SUB ECX, [EDX+0x14]; MOV [EAX+0x14], ECX; MOV EAX, [0xbf9a6ccc]; MOV DWORD [EAX+0x34], 0x1} .text win32k.sys!EngFntCacheAlloc + 8D BF8877B4 46 Bytes CALL BF801978 \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngFntCacheAlloc + BC BF8877E3 78 Bytes [15, 33, C9, 81, FE, 93, 52, ...] .text win32k.sys!EngFntCacheAlloc + 10B BF887832 77 Bytes [00, 6A, 04, 5A, 39, 55, 0C, ...] .text win32k.sys!EngFntCacheAlloc + 159 BF887880 131 Bytes [0C, 1B, C0, 40, 5E, 5F, 5D, ...] .text ... .text win32k.sys!EngWideCharToMultiByte + B7 BF888EB8 16 Bytes [C0, 24, 8B, 18, 8B, B3, E8, ...] {SHL BYTE [EBX+ECX*4], 0x18; MOV ESI, [EBX+0x1e8]; ADD EBX, 0x1e0} .text win32k.sys!EngWideCharToMultiByte + C8 BF888EC9 10 Bytes [83, C6, 07, C1, EE, 03, 68, ...] .text win32k.sys!EngWideCharToMultiByte + D3 BF888ED4 54 Bytes [83, C6, 0C, 56, 6A, 00, E8, ...] .text win32k.sys!EngWideCharToMultiByte + 10A BF888F0B 130 Bytes [43, 08, 89, 47, 04, C7, 47, ...] .text win32k.sys!EngWideCharToMultiByte + 18D BF888F8E 34 Bytes [FC, 66, 83, F8, FF, 73, 62, ...] .text ... .text win32k.sys!EngMultiByteToUnicodeN + 1D BF88AE01 42 Bytes [53, 7C, F7, FF, 83, 26, 00, ...] .text win32k.sys!EngMultiByteToUnicodeN + 48 BF88AE2C 97 Bytes [57, 8D, 45, FC, 50, 57, 68, ...] .text win32k.sys!EngMultiByteToUnicodeN + AA BF88AE8E 103 Bytes [FF, 55, 8B, EC, A1, 78, C5, ...] .text win32k.sys!EngMultiByteToUnicodeN + 112 BF88AEF6 96 Bytes [7D, 0C, 8B, 45, 08, 89, 45, ...] .text win32k.sys!EngMultiByteToUnicodeN + 173 BF88AF57 103 Bytes [F0, F3, A5, 83, 4D, FC, FF, ...] .text ... .text win32k.sys!EngFindImageProcAddress + 34 BF88EA84 17 Bytes [83, C4, 0C, 85, C0, 74, A3, ...] {ADD ESP, 0xc; TEST EAX, EAX; JZ 0xffffffffffffffaa; CMP DWORD [ESI+0x14], 0x0; PUSH EBX; JZ 0x6c; MOV EAX, [ESI+0x14]} .text win32k.sys!EngFindImageProcAddress + 46 BF88EA96 56 Bytes [50, 18, 8B, 78, 20, 8B, 58, ...] .text win32k.sys!EngFindImageProcAddress + 7F BF88EACF 20 Bytes [46, 08, 50, FF, 75, 0C, E8, ...] .text win32k.sys!EngFindImageProcAddress + 95 BF88EAE5 19 Bytes [FF, 45, 08, 8B, 45, 08, 3B, ...] .text win32k.sys!EngFindImageProcAddress + A9 BF88EAF9 63 Bytes [90, 90, 90, 90, 90, FF, 25, ...] .text ... .text win32k.sys!EngLoadImage + 1E BF88EBE4 11 Bytes [90, 00, 00, 8B, 0D, 28, D7, ...] {NOP ; ADD [EAX], AL; MOV ECX, [0xbf9ad728]; MOV ESI, EAX} .text win32k.sys!EngLoadImage + 2A BF88EBF0 3 Bytes CALL BF80197B \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngLoadImage + 2E BF88EBF4 139 Bytes [8B, C6, 5E, 5D, C2, 04, 00, ...] .text win32k.sys!EngLoadImage + BA BF88EC80 48 Bytes [55, 8B, EC, FF, 75, 08, 8D, ...] .text win32k.sys!EngLoadImage + EB BF88ECB1 10 Bytes [15, F4, E0, 98, BF, E9, D0, ...] {ADC EAX, 0xbf98e0f4; JMP 0x9da} .text ... .text win32k.sys!EngQueryPerformanceFrequency + 44 BF890AC3 23 Bytes JMP BF8924D7 \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngQueryPerformanceFrequency + 5C BF890ADB 281 Bytes JMP BF8916FB \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngQueryPerformanceFrequency + 176 BF890BF5 81 Bytes CALL BF82C825 \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngQueryPerformanceFrequency + 1C8 BF890C47 30 Bytes [85, F8, FE, FF, FF, 8B, 49, ...] .text win32k.sys!EngQueryPerformanceFrequency + 1E7 BF890C66 40 Bytes [39, B5, EC, FE, FF, FF, 74, ...] .text ... .text win32k.sys!EngUnloadImage + 7 BF892B1E 2 Bytes JMP BF8965F6 \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngUnloadImage + B BF892B22 5 Bytes [90, 90, 90, 90, 90] {NOP ; NOP ; NOP ; NOP ; NOP } .text win32k.sys!EngCreateEvent + 1 BF892B28 139 Bytes [FF, 55, 8B, EC, 56, 6A, 0C, ...] .text win32k.sys!EngQuerySystemAttribute + 49 BF892BB4 44 Bytes [BE, 45, F0, 8B, 4D, 0C, 89, ...] .text win32k.sys!EngQuerySystemAttribute + 76 BF892BE1 89 Bytes CALL A865A1E5 .text win32k.sys!EngQuerySystemAttribute + D0 BF892C3B 45 Bytes [00, 8B, 47, 20, B9, 36, 25, ...] .text win32k.sys!EngQuerySystemAttribute + FF BF892C6A 56 Bytes [8B, 46, 3C, B9, B1, 28, 96, ...] .text win32k.sys!EngQuerySystemAttribute + 141 BF892CAC 3 Bytes [8B, 45, 0C] {MOV EAX, [EBP+0xc]} .text ... .text win32k.sys!EngFindResource + 3 BF894D8A 15 Bytes [8B, EC, FF, 75, 14, 8B, 45, ...] {MOV EBP, ESP; PUSH DWORD [EBP+0x14]; MOV EAX, [EBP+0x8]; PUSH DWORD [EBP+0x10]; PUSH DWORD [EBP+0xc]; PUSH EAX} .text win32k.sys!EngFindResource + 13 BF894D9A 16 Bytes CALL BF894DA8 \SystemRoot\System32\win32k.sys (Mehrbenutzer-Win32-Treiber/Microsoft Corporation) .text win32k.sys!EngFindResource + 24 BF894DAB 69 Bytes [FF, 55, 8B, EC, FF, 75, 18, ...] .text win32k.sys!EngFindResource + 6A BF894DF1 2 Bytes [03, 8D] .text win32k.sys!EngFindResource + 6D BF894DF4 12 Bytes [F4, 50, FF, 75, 08, E8, 21, ...] {HLT ; PUSH EAX; PUSH DWORD [EBP+0x8]; CALL 0xfffffffffffff92b; TEST EAX, EAX} .text ... .text win32k.sys!EngLoadModule + 2 BF895718 16 Bytes [55, 8B, EC, 6A, 00, FF, 75, ...] .text win32k.sys!EngLoadModule + 13 BF895729 86 Bytes [90, 90, 90, 90, 90, 8B, FF, ...] .text win32k.sys!EngLoadModule + 6A BF895780 54 Bytes [C0, 0F, 84, 94, 00, 00, 00, ...] .text win32k.sys!EngLoadModule + A1 BF8957B7 9 Bytes [FF, 83, 7D, 0C, 00, 89, 5D, ...] .text win32k.sys!EngLoadModule + AB BF8957C1 71 Bytes [37, EF, FF, FF, FF, 75, 08, ...] .text ... .text win32k.sys!EngFreeModule + 55 BF8958E9 11 Bytes [5E, 5D, C2, 04, 00, 90, 90, ...] .text win32k.sys!EngFreeModule + 61 BF8958F5 59 Bytes [55, 8B, EC, 56, 8B, 75, 08, ...] .text win32k.sys!EngFreeModule + 9D BF895931 96 Bytes [55, 8B, EC, 51, 83, 65, FC, ...] .text win32k.sys!EngFreeModule + FE BF895992 8 Bytes [43, 14, 8B, 46, 08, 89, 43, ...] .text win32k.sys!EngFreeModule + 107 BF89599B 78 Bytes [46, 0C, 57, 89, 43, 1C, 8B, ...] .text ... .text win32k.sys!EngGetLastError + 43 BF899675 58 Bytes [73, 10, FF, 15, 64, E1, 98, ...] .text win32k.sys!EngGetLastError + 7E BF8996B0 41 Bytes [55, 14, 8D, 3C, 02, 8B, D1, ...] .text win32k.sys!EngGetLastError + A8 BF8996DA 36 Bytes [55, E4, 83, C2, 18, 8B, 4B, ...] .text win32k.sys!EngGetLastError + CD BF8996FF 64 Bytes [70, 10, 8B, 01, 89, 58, 18, ...] .text win32k.sys!EngGetLastError + 10E BF899740 60 Bytes [90, 90, 90, 90, 90, 8B, FF, ...] .text ... .text win32k.sys!EngGradientFill + 9 BF89BAFE 142 Bytes [45, 08, 53, 8B, D8, 56, F7, ...] .text win32k.sys!EngGradientFill + 98 BF89BB8D 39 Bytes [F8, 85, FF, 0F, 84, 31, FD, ...] .text win32k.sys!EngGradientFill + C0 BF89BBB5 1 Byte [20] .text win32k.sys!EngGradientFill + C0 BF89BBB5 150 Bytes [20, FF, 75, 1C, FF, 75, 18, ...] .text win32k.sys!EngGradientFill + 157 BF89BC4C 159 Bytes [FF, A5, A5, A5, A5, 89, 5D, ...] .text ... .reloc C:\WINDOWS\system32\drivers\acedrv11.sys section is executable [0xAFB5F300, 0x25D4C, 0xE0000060] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAFB00300, 0x3B6D8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB8358300, 0x1BEE, 0xE8000020] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EA8042] spsa.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EA813E] spsa.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EA80C0] spsa.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EA8800] spsa.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EA86D6] spsa.sys IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!KeGetCurrentIrql] 9E880000 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!KfRaiseIrql] 00001CB1 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!KfLowerIrql] 0E798366 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!HalGetInterruptVector] 74AAB000 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!HalTranslateBusAddress] 8986C636 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!READ_PORT_USHORT] 001C9686 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2 IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[WMILIB.SYS!WmiSystemControl] 8800001C IAT \SystemRoot\System32\Drivers\a7gvoar2.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7EB7E9C] spsa.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8AF521F8 Device \FileSystem\Udfs \UdfsCdRom 8AB471F8 Device \FileSystem\Udfs \UdfsDisk 8AB471F8 Device \Driver\usbohci \Device\USBPDO-0 8AD061F8 Device \Driver\usbohci \Device\USBPDO-1 8AD061F8 Device \Driver\usbehci \Device\USBPDO-2 8AD051F8 Device \Driver\usbohci \Device\USBPDO-3 8AD061F8 Device \Driver\usbohci \Device\USBPDO-4 8AD061F8 Device \Driver\usbehci \Device\USBPDO-5 8AD051F8 Device \Driver\usbohci \Device\USBPDO-6 8AD061F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 8AF541F8 Device \Driver\Cdrom \Device\CdRom0 8AD0C1F8 Device \Driver\Cdrom \Device\CdRom1 8AD0C1F8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B7E20B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 [B7E20B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 [B7E20B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort2 [B7E20B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort3 [B7E20B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e [B7E20B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\NetBT \Device\NetBt_Wins_Export 89EA81F8 Device \Driver\NetBT \Device\NetbiosSmb 89EA81F8 Device \Driver\sptd \Device\1521529292 spsa.sys Device \Driver\PCI_PNP3042 \Device\0000005e spsa.sys Device \Driver\usbohci \Device\USBFDO-0 8AD061F8 Device \Driver\usbohci \Device\USBFDO-1 8AD061F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89EA4500 Device \Driver\usbehci \Device\USBFDO-2 8AD051F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89EA4500 Device \Driver\usbohci \Device\USBFDO-3 8AD061F8 Device \Driver\usbohci \Device\USBFDO-4 8AD061F8 Device \Driver\Ftdisk \Device\FtControl 8AF541F8 Device \Driver\usbehci \Device\USBFDO-5 8AD051F8 Device \Driver\usbohci \Device\USBFDO-6 8AD061F8 Device \Driver\JRAID \Device\Scsi\JRAID1 8AF531F8 Device \Driver\a7gvoar2 \Device\Scsi\a7gvoar21Port5Path0Target0Lun0 8AD0B1F8 Device \Driver\a7gvoar2 \Device\Scsi\a7gvoar21 8AD0B1F8 Device \FileSystem\Cdfs \Cdfs 8A339500 Device \FileSystem\Cdfs \Cdfs B0201BCE ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations ???i????? ???????Q???????Q??C:\Programme\Tunngle\Tunngle.exe:*:Enabled:Tunngle Client?8?5???????????ic??255.0.0.0???MS Software Shadow Copy Provider?O??? ?????????????i?????O?a??????????T??????????K??? ???????i?????i?????a?a????????N???????ar?????i?&???????????u?????sve????N??i???C????DUME??{8ECC055D-047F-11D1-A537-0000F8753ED1}?Tem??? ???i??? ?????52f??nltdi???? ?????????????i?????7??????????????&????????????????????i??????1????l???????p??? ??1????-?????2f5??? ???????i???????????a?2????????H??? ??????UME?????i???????????????4???????????????????? ???ra??? ???????j???????????i?????????????????S?S???i??{8ECC055D-047F-11D1-A537-0000F8753ED1}??T.??71???????i???b?????????h???????i?&?????i?&??6960:UDP:*:Enabled:League of Legends Launcher???STORAGE\VOLUMESNAPSHOT\2&2AA31D5D&0&HARDDISKVOLUMESNAPSHOT1??R???R?S?S?\?h?h?e?i?5???i???????j???????????V???????Z??? ?????????????i?????b??????????2??? ??????top?????????????????????i???????g????? ???????i???????????7???????? ?X???????????- ?????i????C:\Programme\NetLimiter 2 P Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA5 0x1D 0x4A 0x3E ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xA8 0xDB 0x49 0xDF ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x21 0x8C 0x14 0x3C ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x06 0xD1 0xB9 0xE4 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA5 0x1D 0x4A 0x3E ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xA8 0xDB 0x49 0xDF ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x21 0x8C 0x14 0x3C ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x06 0xD1 0xB9 0xE4 ... ---- EOF - GMER 1.0.15 ---- Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 19:39:57 on 29.09.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.10 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Pando" - "Pando Networks" - C:\Programme\Pando Networks\Media Booster\PMB.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "acedrv11" (acedrv11) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acedrv11.sys "aev8m2xd" (aev8m2xd) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\aev8m2xd.sys (Hidden registry entry, rootkit activity | File signed by Microsoft) "ATITool Overclocking Utility" (ATITool) - ? - C:\WINDOWS\System32\DRIVERS\ATITool.sys "atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys (File found, but it contains no detailed information) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "BVRPMPR5 NDIS Protocol Driver" (BVRPMPR5) - "Avanquest Software" - C:\WINDOWS\system32\drivers\BVRPMPR5.SYS "Cardex" (Cardex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPANEL.SYS "catchme" (catchme) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "cpuz132" (cpuz132) - "Windows (R) Codename Longhorn DDK provider" - C:\WINDOWS\system32\drivers\cpuz132_x32.sys "DNINDIS5 NDIS Protocol Driver" (DNINDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\system32\DNINDIS5.SYS "GarenaPEngine" (GarenaPEngine) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\WOC53.tmp (File found, but it contains no detailed information) "gdrv" (gdrv) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\gdrv.sys "GGSAFER Driver" (GGSAFERDriver) - ? - C:\Programme\Garena\plugins\UI\safedrv.sys (File not found) "Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys (File found, but it contains no detailed information) "Logitech SetPoint Keyboard Driver" (L8042Kbd) - "Logitech, Inc." - C:\WINDOWS\System32\DRIVERS\L8042Kbd.sys "Logitech SetPoint KMDF HID Filter Driver" (LHidFilt) - "Logitech, Inc." - C:\WINDOWS\System32\DRIVERS\LHidFilt.Sys "Logitech SetPoint KMDF Mouse Filter Driver" (LMouFilt) - "Logitech, Inc." - C:\WINDOWS\System32\DRIVERS\LMouFilt.Sys "NetGroup Packet Filter Driver" (NPF) - "CACE Technologies" - C:\WINDOWS\System32\drivers\npf.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PSI" (PSI) - "Secunia" - C:\WINDOWS\System32\DRIVERS\psi_mf.sys "SetPoint Mouse Filter Driver" (LMouKE) - "Logitech, Inc." - C:\WINDOWS\System32\DRIVERS\LMouKE.Sys "SetPoint PS/2 Mouse Filter Driver" (L8042mou) - "Logitech, Inc." - C:\WINDOWS\System32\DRIVERS\L8042mou.Sys "sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys (File is exclusively opened, access blocked) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys (File found, but it contains no detailed information) "TAP-Win32 Adapter V9 (Tunngle)" (tap0901t) - "Tunngle.net" - C:\WINDOWS\System32\DRIVERS\tap0901t.sys "TBPanel" (TBPanel) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\TBPanel.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "wsimd Service" (WSIMD) - "Atheros Communications, Inc." - C:\WINDOWS\System32\DRIVERS\wsimd.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll {A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "QIP 2005" - "The Author of QIP" - C:\Programme\QIP\qip.exe -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} "DeviceVM Url Search Hook" - "DeviceVM Inc." - C:\WINDOWS\system32\dvmurl.dll {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} "QIPBHO Class" - "qip.ru" - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll "{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {784797A8-342D-4072-9486-03C8D0F2F0A1} "Battlefield Heroes Updater" - "EA Digital Illusions CE AB" - C:\WINDOWS\Downloaded Program Files\BFHUpdater.dll / https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.27.0.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_20\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {95289393-33EA-4F8D-B952-483415B9C955} "QIPBHO Class" - "qip.ru" - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} "QIPBHO Class" - "qip.ru" - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "NETGEAR WN111v2 Setup-Assistent.lnk" - "NETGEAR" - C:\Programme\NETGEAR\WN111v2\WN111V2.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "DAEMON Tools Lite" - "DT Soft Ltd" - "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun "GAINWARD" - "Gainward Co." - C:\Programme\EXPERTool\TBPanel.exe /A -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "FaxCenterServer" - ? - "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s (File found, but it contains no detailed information) "JMB36X IDE Setup" - ? - C:\WINDOWS\RaidTool\xInsIDE.exe (File found, but it contains no detailed information) "LogMeIn Hamachi Ui" - "LogMeIn Inc." - "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start "NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Lexmark Print-2-Fax Port" - ? - C:\WINDOWS\system32\LXPRMON.DLL (File found, but it contains no detailed information) "PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Atheros Configuration Service" (ACS) - "Atheros" - C:\WINDOWS\system32\acs.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Dragon Age: Origins - Inhaltsupdater" (DAUpdaterSvc) - "BioWare" - C:\Programme\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe "ES lite Service for program management." (ES lite Service) - ? - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE (File found, but it contains no detailed information) "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Jumpstart Wifi Protected Setup" (jswpsapi) - "Atheros Communications, Inc." - C:\Programme\NETGEAR\WN111v2\jswpsapi.exe "LogMeIn Hamachi 2.0 Tunneling Engine" (Hamachi2Svc) - "LogMeIn Inc." - C:\Programme\LogMeIn Hamachi\hamachi-2.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "NMSAccess" (NMSAccess) - ? - C:\Programme\CDBurnerXP\NMSAccessU.exe (File found, but it contains no detailed information) "NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe "Remote Packet Capture Protocol v.0 (experimental)" (rpcapd) - "CACE Technologies" - C:\Programme\WinPcap\rpcapd.exe "TunngleService" (TunngleService) - "Tunngle.net GmbH" - C:\Programme\Tunngle\TnglCtrl.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe "Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
30.09.2010, 17:43 | #14 |
| Trojaner TR/Swizzor.xec Hallo bitte nach der Anleitung von OSAM diesen Treiber entfernen Code:
ATTFilter "aev8m2xd" (aev8m2xd) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\aev8m2xd.sys MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
01.10.2010, 00:07 | #15 |
| Trojaner TR/Swizzor.xec Hi und schon mal vielen Dank, echt gute Arbeit hier im Trojaner Board ! Ein kleines Problem hatte ich und zwar ist der von dir genannte Treiber anscheinend nicht mehr vorhanden, zumindest findet OSAM nichts mehr. Könnte daran liegen, dass ich vor kurzem Secunia installiert habe und damit paar Updates geladen habe. Die anderen beiden Logs habe ich hier: Malwarebytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4725 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 30.09.2010 23:45:47 mbam-log-2010-09-30 (23-45-47).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 137755 Laufzeit: 3 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 10/01/2010 at 00:45 AM Application Version : 4.44.1000 Core Rules Database Version : 5612 Trace Rules Database Version: 3424 Scan type : Complete Scan Total Scan Time : 00:53:39 Memory items scanned : 484 Memory threats detected : 0 Registry items scanned : 5994 Registry threats detected : 0 File items scanned : 101870 File threats detected : 1 Adware.Tracking Cookie C:\Dokumente und Einstellungen\***\Cookies\haas@weborama[2].txt |
Themen zu Trojaner TR/Swizzor.xec |
adobe, antivir, antivir guard, avg, avira, desktop, einstellungen, explorer, firefox, gainward, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, netgear, nvidia, plug-in, rundll, software, system, trojaner, trojanisches pferd, windows, windows xp |