|
Plagegeister aller Art und deren Bekämpfung: Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3'Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.09.2010, 16:33 | #1 | ||
| Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Hallo Ich bräuchte bitte eure Hilfe bei folgendem Problem. Seit letzter Woche bekomme ich vom AntivirGuard immer wieder diverse Funde angezeigt. Angefangen hat dies vor einer Woche mit AV Guard Meldung: Zitat:
Zitat:
Untenstehend findet ihr den Report des letzten Scans mit Malwarebytes und im Anhang die OTL Log Dateien. Wie soll ich weiter verfahren? Schonmal vielen Dank für eure Hilfe!!!!!! Edit: Im Anhang findet ihr jetzt noch zusätzlich die Log Datei vom letzten AntiVir Scan -------------------------------------------------------------------------- Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 4715 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 29.09.2010 14:23:26 mbam-log-2010-09-29 (14-23-26).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 218276 Time elapsed: 1 hour(s), 26 minute(s), 0 second(s) Memory Processes Infected: 0 Memory Modules Infected: 1 Registry Keys Infected: 0 Registry Values Infected: 2 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 5 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: C:\WINDOWS\btrd32.dll (Trojan.Hiloti) -> No action taken. Registry Keys Infected: (No malicious items detected) Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dseha (Trojan.Hiloti) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dfrgsnapnt.exe (Trojan.Downloader) -> No action taken. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: C:\WINDOWS\btrd32.dll (Trojan.Hiloti) -> No action taken. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Temp\0.5548023950281677.exe (Trojan.Dropper) -> No action taken. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Temp\0.6773774254357416.exe (Trojan.Dropper) -> No action taken. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Temp\topwesitjh (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Temp\dfrgsnapnt.exe (Trojan.Downloader) -> No action taken. Geändert von Earl777 (29.09.2010 um 17:12 Uhr) |
30.09.2010, 18:26 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Code:
ATTFilter :OTL MOD - C:\WINDOWS\system32\forconui.dll () MOD - C:\WINDOWS\afugohewatebic.dll () O4 - HKLM..\Run: [Qqunoka] C:\WINDOWS\afugohewatebic.DLL () O32 - AutoRun File - [2010.03.01 22:18:02 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ] O33 - MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found O33 - MountPoints2\{f1145c4a-50a4-11df-8055-0022435dd41b}\Shell\AutoRun\command - "" = autorun\autorun.exe O36 - AppCertDlls: noteices - (C:\WINDOWS\system32\forconui.dll) - C:\WINDOWS\system32\forconui.dll () [2010.09.28 13:38:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Anwendungsdaten\{7FEA4C8E-D39F-4D11-8D80-83B7DB101030} [2010.09.29 13:40:36 | 000,051,200 | -H-- | M] () -- C:\WINDOWS\System32\forconui.dll [2010.09.29 11:34:22 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Pmanebi.dat [2010.09.29 11:34:12 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Pdujutivo.bin :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ |
01.10.2010, 09:19 | #3 |
| Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Hallo Arne
__________________Vielen Dank für die schnelle Hilfe. Hier ist der Log von OTL: All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Qqunoka deleted successfully. C:\WINDOWS\afugohewatebic.dll moved successfully. D:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found. File F:\setup.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1145c4a-50a4-11df-8055-0022435dd41b}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1145c4a-50a4-11df-8055-0022435dd41b}\ not found. File autorun\autorun.exe not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\noteices:C:\WINDOWS\system32\forconui.dll deleted successfully. C:\WINDOWS\system32\forconui.dll moved successfully. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Anwendungsdaten\{7FEA4C8E-D39F-4D11-8D80-83B7DB101030}\chrome\content folder moved successfully. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Anwendungsdaten\{7FEA4C8E-D39F-4D11-8D80-83B7DB101030}\chrome folder moved successfully. C:\Dokumente und Einstellungen\erl\Lokale Einstellungen\Anwendungsdaten\{7FEA4C8E-D39F-4D11-8D80-83B7DB101030} folder moved successfully. File C:\WINDOWS\System32\forconui.dll not found. C:\WINDOWS\Pmanebi.dat moved successfully. C:\WINDOWS\Pdujutivo.bin moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32969 bytes ->FireFox cache emptied: 46859923 bytes ->Flash cache emptied: 2209 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: erl ->Temp folder emptied: 474551393 bytes ->Temporary Internet Files folder emptied: 158563 bytes ->Java cache emptied: 40224707 bytes ->FireFox cache emptied: 59000851 bytes ->Google Chrome cache emptied: 193283679 bytes ->Flash cache emptied: 89305 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 486440 bytes ->Flash cache emptied: 829 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 25464543 bytes ->Flash cache emptied: 38978 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 90112 bytes %systemroot%\System32 .tmp files removed: 3771271 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 28662589 bytes RecycleBin emptied: 314315206 bytes Total Files Cleaned = 1.132,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 10012010_101117 Files\Folders moved on Reboot... File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PMJWLGRB\CategoryDisplay[1].htm not found! File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PMJWLGRB\products[1].htm not found! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PMJWLGRB\raise-your-game[1].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PMJWLGRB\XMLHttpRequest[1].js moved successfully. File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0EMJ8FD\infection[1].htm not found! File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0EMJ8FD\search[1].htm not found! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0EMJ8FD\topic[1].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6TNGOTH1\language_tools[2].htm moved successfully. Registry entries deleted on Reboot... |
01.10.2010, 10:51 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2010, 12:36 | #5 |
| Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Hallo Arne Danke für die schnelle Antwort. Unten findest du die Log von ComboFix. Leider ging beim Ausführen von Combofix etwas schief: beim neustart um vorhandene Rootkits zu überprüfen startete Windows nicht mehr. Dies ist allerdings vor Virenbefall auch schon häufiger vorgekommen. Nach 20 min hab ich dann den Pc ausgeschaltet und manuell hochgefahren. Nach diesem Start öffnete sich dann Antivir aus dem Autostart und brachte mir irgendeine Befallsmeldung über ein Rootkit. Combofix lief nicht weiter bis ich nach längeren warten den Prozess von Antivir im Taskmanager beendete habe. Danach lief dann Combofix ohne Probleme zu Ende. Ich hoffe der Scan ist trotzdem brauchbar. Grüße Daniel Combofix Logfile: Code:
ATTFilter ComboFix 10-09-30.03 - erl 01.10.2010 13:01:53.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.642 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\erl\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\1.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\a.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\b.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\c.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\d.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\e.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\f.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\g.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\h.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\i.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\J.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\k.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\l.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\m.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\mru.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\n.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\o.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\p.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\q.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\r.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\s.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\t.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\u.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\v.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\w.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\x.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\y.xml c:\dokumente und einstellungen\erl\Anwendungsdaten\PriceGong\Data\z.xml c:\programme\YouTube Downloader Toolbar\SeARchsettings.dll c:\windows\system32\AutoRun.inf Infizierte Kopie von c:\windows\system32\drivers\afd.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_usnjsvc ((((((((((((((((((((((( Dateien erstellt von 2010-09-01 bis 2010-10-01 )))))))))))))))))))))))))))))) . 2010-10-01 10:06 . 2010-10-01 10:06 -------- d-----w- c:\programme\CCleaner 2010-10-01 08:11 . 2010-10-01 08:11 -------- d-----w- C:\_OTL 2010-09-29 10:59 . 2010-09-29 10:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan 2010-09-29 10:58 . 2010-09-29 10:58 -------- d-----w- c:\programme\McAfee Security Scan 2010-09-29 10:36 . 2010-09-29 10:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee 2010-09-25 18:22 . 2010-09-26 13:57 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla-Cache 2010-09-25 16:20 . 2010-09-25 16:20 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Malwarebytes 2010-09-25 15:26 . 2010-09-25 15:26 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2010-09-25 15:26 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-25 15:26 . 2010-09-25 15:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-09-25 15:26 . 2010-09-25 15:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-09-25 15:26 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-25 15:18 . 2010-09-25 15:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Search Settings 2010-09-25 15:18 . 2010-09-25 15:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\YouTube Downloader 2010-09-25 15:17 . 2010-09-25 15:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla 2010-09-25 15:16 . 2010-09-25 15:16 146 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat 2010-09-25 15:16 . 2008-08-27 15:29 37600 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-09-20 16:37 . 2008-04-13 22:15 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys 2010-09-20 16:37 . 2008-04-13 22:15 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys 2010-09-20 16:28 . 2010-09-20 16:29 -------- d-----w- c:\programme\Audacity 2010-09-12 19:39 . 2010-09-12 19:39 74240 ------w- c:\windows\AKDeInstall.exe 2010-09-12 19:39 . 2010-09-12 19:39 -------- d-----w- c:\programme\White Dog Soft 2010-09-12 16:35 . 2010-09-12 16:35 -------- d-----w- c:\programme\Skat 2010-09-10 14:21 . 2010-09-10 14:21 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Ezix . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-10-01 11:14 . 2010-04-18 13:21 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Dropbox 2010-10-01 11:14 . 2010-03-17 15:52 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\StarOffice8 2010-10-01 11:10 . 2010-07-24 22:38 -------- d-----w- c:\programme\YouTube Downloader Toolbar 2010-09-29 14:52 . 2010-03-11 18:54 -------- d-----w- c:\programme\Mozilla Thunderbird 2010-09-29 13:55 . 2010-07-24 22:32 -------- d-----w- c:\programme\DVDVideoSoftTB 2010-09-29 13:55 . 2010-07-24 22:31 -------- d-----w- c:\programme\softonic-de3 2010-09-29 12:00 . 2010-03-01 01:11 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Skype 2010-09-29 11:55 . 2010-03-01 01:12 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\skypePM 2010-09-28 20:45 . 2010-04-09 13:02 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Alotf 2010-09-25 18:21 . 2010-03-06 11:24 -------- d-----w- c:\programme\PartyGaming 2010-09-16 15:58 . 2010-08-01 12:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-08-18 04:35 . 2010-07-13 22:20 -------- d-----w- c:\programme\PokerOffice 2010-08-17 13:17 . 2008-08-11 14:04 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-08-15 21:19 . 2010-02-20 20:41 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\vlc 2010-08-13 14:03 . 2008-08-11 17:46 -------- d-----w- c:\programme\Microsoft Works 2010-08-13 14:00 . 2008-08-11 14:04 84722 ----a-w- c:\windows\system32\perfc007.dat 2010-08-13 14:00 . 2008-08-11 14:04 459396 ----a-w- c:\windows\system32\perfh007.dat 2010-08-08 19:50 . 2010-08-08 19:50 331304 ----a-w- c:\dokumente und einstellungen\erl\Anwendungsdaten\OpenCandy\OpenCandy_AF962ECD177D4CE1BF1DF42124E49337\DLMgr_3_1.6.44.exe 2010-08-08 19:49 . 2010-08-08 19:49 -------- d-----w- c:\dokumente und einstellungen\erl\Anwendungsdaten\OpenCandy 2010-08-08 19:49 . 2010-08-08 19:49 -------- d-----w- c:\programme\Veoh Networks 2010-08-08 15:07 . 2010-08-08 14:45 -------- d-----w- c:\programme\XMind 2010-08-08 14:46 . 2010-03-01 21:03 74048 ----a-w- c:\dokumente und einstellungen\erl\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-07-31 10:38 . 2010-07-31 10:28 132099 ----a-w- c:\windows\hpoins14.dat 2010-07-25 16:47 . 2010-03-17 15:53 1 ----a-w- c:\dokumente und einstellungen\erl\Anwendungsdaten\StarOffice8\user\uno_packages\cache\stamp.sys 2010-07-24 22:32 . 2010-07-24 22:32 52224 ----a-w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla\Firefox\Profiles\vzudv2k9.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll 2010-07-24 22:32 . 2010-07-24 22:32 101376 ----a-w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla\Firefox\Profiles\vzudv2k9.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll 2010-07-24 14:51 . 2010-02-19 17:17 2178 ----a-w- c:\dokumente und einstellungen\erl\Anwendungsdaten\wklnhst.dat 2010-07-22 15:48 . 2008-08-11 14:04 590848 ----a-w- c:\windows\system32\rpcrt4.dll 2010-07-22 06:19 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-07-21 14:30 . 2010-07-21 14:30 73000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe 2010-07-11 19:57 . 2010-07-11 19:57 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2010-07-11 12:23 . 2010-07-11 12:23 9158 ----a-r- c:\dokumente und einstellungen\erl\Anwendungsdaten\Microsoft\Installer\{47EA4DDF-FD99-46B3-846C-9F3F315268AD}\_ECF5B0A15121D905E30873.exe 2010-07-11 12:23 . 2010-07-11 12:23 9158 ----a-r- c:\dokumente und einstellungen\erl\Anwendungsdaten\Microsoft\Installer\{47EA4DDF-FD99-46B3-846C-9F3F315268AD}\_B06349111D5E7CEE2A3C50.exe 2010-07-11 12:23 . 2010-07-11 12:23 9158 ----a-r- c:\dokumente und einstellungen\erl\Anwendungsdaten\Microsoft\Installer\{47EA4DDF-FD99-46B3-846C-9F3F315268AD}\_BBE843A4210D005E08B21E.exe 2010-07-11 12:23 . 2010-07-11 12:23 9158 ----a-r- c:\dokumente und einstellungen\erl\Anwendungsdaten\Microsoft\Installer\{47EA4DDF-FD99-46B3-846C-9F3F315268AD}\_6FEFF9B68218417F98F549.exe 2008-05-07 14:34 . 2008-08-11 17:17 15523560 ----a-w- c:\programme\U1 Setup.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\tbsof1.dll" [2010-09-29 2735200] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-29 2735200] [HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] 2010-09-29 13:55 2735200 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD0.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}] 2010-09-29 13:55 2735200 ----a-w- c:\programme\softonic-de3\tbsof1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\tbsof1.dll" [2010-09-29 2735200] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-29 2735200] [HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD0.dll" [2010-09-29 2735200] "{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\programme\softonic-de3\tbsof1.dll" [2010-09-29 2735200] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\erl\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VeohPlugin"="c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2010-07-06 2634048] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-03-26 149280] "RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912] "ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2008-09-03 335872] "ETDWareDetect"="c:\programme\Elantech\ETDDect.exe" [2008-08-22 204800] "AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-09-02 106496] "AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-09-02 593920] "AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-06-17 40368] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "POEngine"="c:\programme\PokerOffice\POEngine.exe" [2007-02-22 475136] "SearchSettings"="c:\programme\YouTube Downloader Toolbar\SearchSettings.exe" [2010-02-19 974848] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-18 421888] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-21 141608] "GrooveMonitor"="d:\microsoft office enterprise 2007 by @phoenix@ an daniel-pc\Office12\GrooveMonitor.exe" [2008-10-25 31072] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\erl\Startmen\Programme\Autostart\ Dropbox.lnk - c:\dokumente und einstellungen\erl\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2010-2-26 21979992] OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - d:\microsoft office enterprise 2007 by @phoenix@ an daniel-pc\Office12\ONENOTEM.EXE [2009-2-26 97680] StarOffice 8.lnk - c:\programme\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-30 604776] McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536] SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-17 311296] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\erl\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "d:\\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\\Office12\\OUTLOOK.EXE"= "d:\\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\\Office12\\groove.exe"= "d:\\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.02.2010 02:23 108289] R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [19.02.2010 19:43 380928] R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [19.02.2010 13:40 625024] S2 gupdate1cad11333c69d9e;Google Update Service (gupdate1cad11333c69d9e);c:\programme\Google\Update\GoogleUpdate.exe [31.03.2010 22:46 133104] S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 . Inhalt des "geplante Tasks" Ordners 2010-10-01 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job - c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20] 2010-10-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-03-31 20:46] 2010-10-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-03-31 20:46] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050 uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global uInternet Settings,ProxyOverride = *.local IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm IE: Free YouTube Download - c:\dokumente und einstellungen\erl\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm IE: Nach Microsoft E&xel exportieren - d:\micros~1\Office12\EXCEL.EXE/3000 IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\programme\PartyGaming\PartyCasino\RunApp.exe FF - ProfilePath - c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla\Firefox\Profiles\vzudv2k9.default\ FF - prefs.js: browser.search.selectedEngine - Yahoo FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de|hxxp://www.rememberthemilk.com/home/daniel.erl1/#section.tasks|hxxp://blog.tim-bormann.de/dropbox-daten-synchronisieren-sichern-und-austauschen.html|hxxp://www.google.de/search?q=office+all+in+one&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=937811&p= FF - component: c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla\Firefox\Profiles\vzudv2k9.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll FF - component: c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla\Firefox\Profiles\vzudv2k9.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll FF - component: c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla\Firefox\Profiles\vzudv2k9.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll FF - component: c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla\Firefox\Profiles\vzudv2k9.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll FF - component: c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla\Firefox\Profiles\vzudv2k9.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e}\components\FFExternalAlert.dll FF - component: c:\dokumente und einstellungen\erl\Anwendungsdaten\Mozilla\Firefox\Profiles\vzudv2k9.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e}\components\RadioWMPCore.dll FF - component: c:\programme\YouTube Downloader Toolbar\SSFF\components\SearchSettingsFF.dll FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-10-01 13:13 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(496) c:\dokumente und einstellungen\erl\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll c:\windows\system32\btmmhook.dll c:\programme\PokerOffice\bin\pshimp.Dll c:\windows\Microsoft.NET\Framework\v1.1.4322\fusion.dll c:\programme\eee storage\xpclient.dll c:\programme\eee storage\logicnp.eznamespaceextensions.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\btncopy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\RTHDCPL.EXE c:\windows\system32\igfxsrvc.exe c:\windows\system32\igfxext.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\PokerOffice\bin\javaw.exe c:\programme\Sun\StarOffice 8\program\soffice.exe c:\programme\Sun\StarOffice 8\program\soffice.BIN c:\programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-10-01 13:18:07 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-10-01 11:18 Vor Suchlauf: 7 Verzeichnis(se), 65.274.933.248 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 65.239.896.064 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - AF3B9BC26A329A502616474EA52D7628 |
01.10.2010, 14:28 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ --> Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' |
04.10.2010, 20:01 | #7 |
| Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Hallo Arne. War über das Wochenende verhindert. Hab jetzt die Scans mit GMER und OSAM durchgeführt. Grüße und Danke GMER: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-10-04 20:12:02 Windows 5.1.2600 Service Pack 3 Running: lbck1pr2.exe; Driver: C:\DOKUME~1\erl\LOKALE~1\Temp\pxtdapod.sys ---- System - GMER 1.0.15 ---- SSDT F7C4C18E ZwCreateKey SSDT F7C4C184 ZwCreateThread SSDT F7C4C193 ZwDeleteKey SSDT F7C4C19D ZwDeleteValueKey SSDT F7C4C1A2 ZwLoadKey SSDT F7C4C170 ZwOpenProcess SSDT F7C4C175 ZwOpenThread SSDT F7C4C1AC ZwReplaceKey SSDT F7C4C1A7 ZwRestoreKey SSDT F7C4C198 ZwSetValueKey SSDT F7C4C17F ZwTerminateProcess ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe[976] USER32.dll!BeginPaint 7E378FE9 5 Bytes JMP 103B13C0 C:\Programme\Veoh Networks\VeohWebPlayer\QtWebKit4.dll .text C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe[976] USER32.dll!EndPaint 7E378FFD 5 Bytes JMP 103B1430 C:\Programme\Veoh Networks\VeohWebPlayer\QtWebKit4.dll ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- ............................. OSAM: OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 20:58:26 on 04.10.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.10 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "Auf Updates für Windows Live Toolbar prüfen.job" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "mlcfg32.cpl" - "Microsoft Corporation" - D:\MICROS~1\Office12\MLCFG32.CPL "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL {88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveSystemServices.dll {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL {03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\BTNEIG~1.DLL {0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - D:\MICROS~1\Office12\ONFILTER.DLL {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\MICROS~1\Office12\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\Sun\StarOffice 8\program\shlxthdl.dll {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - D:\MICROS~1\Office12\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoViewer.dll {00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoViewer.dll {00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll {00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Import Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll {00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll {00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoViewer.dll {00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll {06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD0.dll <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsof1.dll <binary data> "Windows Live Toolbar" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\msntb.dll -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD0.dll {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsof1.dll {E312764E-7706-43F1-8DAB-FCDD2B1E416D} "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - D:\MICROS~1\Office12\ONBttnIE.dll {5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll "PartyCasino" - ? - C:\Programme\PartyGaming\PartyCasino\RunApp.exe "PartyPoker.com" - ? - C:\Programme\PartyGaming\PartyPoker\RunApp.exe {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - D:\MICROS~1\Office12\REFIEBAR.DLL -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD0.dll {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsof1.dll <binary data> "Windows Live Toolbar" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\msntb.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD0.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveShellExtensions.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsof1.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} "Windows Live Toolbar Helper" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\msntb.dll {7E853D72-626A-48EC-A868-BA8D5E23E045} "{7E853D72-626A-48EC-A868-BA8D5E23E045}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "McAfee Security Scan Plus.lnk" - "McAfee, Inc." - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (Shortcut exists | File exists) "SuperHybridEngine.lnk" - "ASUSTeK Computer Inc." - C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (Shortcut exists | File exists) "BTTray.lnk" - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\ONENOTEM.EXE (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\erl\Startmenü\Programme\Autostart\desktop.ini "Dropbox.lnk" - ? - C:\Dokumente und Einstellungen\erl\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Shortcut exists | File exists) "StarOffice 8.lnk" - ? - C:\Programme\Sun\StarOffice 8\program\quickstart.exe (Shortcut exists | File found, but it contains no detailed information | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "VeohPlugin" - "Veoh Networks" - "C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "AsusACPIServer" - "ASUSTeK Computer Inc." - C:\Programme\EeePC\ACPI\AsAcpiSvr.exe "AsusEPCMonitor" - "ASUSTeK Computer Inc." - C:\Programme\EeePC\ACPI\AsEPCMon.exe "AsusTray" - "ASUSTeK Computer Inc." - C:\Programme\EeePC\ACPI\AsTray.exe "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "ETDWare" - "ELANTECH Devices Corp." - C:\Programme\Elantech\ETDCtrl.exe "ETDWareDetect" - "ELANTECH Devices Corp." - C:\Programme\Elantech\ETDDect.exe "GrooveMonitor" - "Microsoft Corporation" - "D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveMonitor.exe" "iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe" "POEngine" - ? - "C:\Programme\PokerOffice\POEngine.exe" C:\Programme\PokerOffice (File found, but it contains no detailed information) "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime "SearchSettings" - "Spigot, Inc." - "C:\Programme\YouTube Downloader Toolbar\SearchSettings.exe" "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll "Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "Application Updater" (Application Updater) - "Spigot, Inc." - C:\Programme\Application Updater\ApplicationUpdater.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "FreePOPs" (FreePOPs) - ? - C:\Programme\FreePOPs\freepopsservice.exe (File found, but it contains no detailed information) "Google Update Service (gupdate1cad11333c69d9e)" (gupdate1cad11333c69d9e) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "HID Input Service" (HidServ) - ? - C:\WINDOWS\System32\hidserv.dll (File not found) "hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "McAfee Security Scan Component Host Service" (McComponentHostService) - "McAfee, Inc." - C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE "Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - D:\Microsoft Office Enterprise 2007 by @Phoenix@ an Daniel-PC\Office12\GrooveAuditService.exe "Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
05.10.2010, 07:31 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Ok. Das andere Log brauch ich auch noch.
__________________ Logfiles bitte immer in CODE-Tags posten |
05.10.2010, 08:31 | #9 |
| Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Ah ok, den bootkit remover hatte ich vergessen. Hier die Ausgabe: Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... |
05.10.2010, 10:51 | #10 |
| Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Ah ok, den bootkit remover hatte ich vergessen. Hier die Ausgabe: Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... |
05.10.2010, 18:23 | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3'Zitat:
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
06.10.2010, 11:23 | #12 |
| Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Hallo Arne Hier die Logs von Malwarebytes und SuperAntispyware. Letztere shat etwas gefunden. Äh peinlich.... Naja danke schonmal Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 4747 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 05.10.2010 21:12:28 mbam-log-2010-10-05 (21-12-28).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 212095 Time elapsed: 56 minute(s), 34 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 10/05/2010 at 10:35 PM Application Version : 4.44.1000 Core Rules Database Version : 5635 Trace Rules Database Version: 3447 Scan type : Complete Scan Total Scan Time : 01:08:48 Memory items scanned : 626 Memory threats detected : 0 Registry items scanned : 7216 Registry threats detected : 0 File items scanned : 69773 File threats detected : 3 Adware.Tracking Cookie files.youporn.com [ C:\Dokumente und Einstellungen\erl\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ASE68UM9 ] youporncams.com [ C:\Dokumente und Einstellungen\erl\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ASE68UM9 ] Trojan.Agent/Gen-CDesc[Gen] C:\SYSTEM VOLUME INFORMATION\_RESTORE{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP2\A0005301.SYS |
06.10.2010, 14:39 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Sieht ok aus, da wurden nur Cookies gefunden. Und naja ein Überrest in der Systemwiederherstellung. Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________ Logfiles bitte immer in CODE-Tags posten |
06.10.2010, 15:24 | #14 |
| Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Nein keine Beschwerden mehr. Wenn wir soweit fertig sind dann bedank ich mich schonmal für die super schnelle und kompetente Hilfe von dir. Bin sehr froh das mir das Neuaufsetzten des Systems erspart wurde. Klasse das es die Seite gibt. Gruß Daniel l |
06.10.2010, 19:33 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' Dann wären wir durch! Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Befall mit diverser Malware u.a. : C:\WINDOWS\btrd32.dll (Trojan.Hiloti); -TR/Crypt.XPACK.Gen3' |
.dll, avira, befall, datei, detected, diverse, einstellungen, explorer, folge, hilfe!!, infected, log, malware, malwarebytes, microsoft, neue, programm, sekunden, software, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', tr/crypt.xpack.gen3, trojan, trojan.agent, trojan.hiloti, virus, windows |