|
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.11.2010, 16:34 | #1 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? hallo an alle, ich habe vor etwa 4 wochen einen antivir scan laufen lassen, weil ich im internet explorer ständig blue screens erhalten habe, und dabei den trojaner TR/Agent.843776.22 gefunden. der blue screen sagte mir: driver_irql_not_less_or_equal technical information: stop: 0*000000D1 dnjfrx.sys - adress 8070eccb ich habe mir den pfad für den treiber dnjfrx.sys rausgesucht und ihn unter windows/system32/driver gefunden. habe dann nochmal antivir drüberlaufen lassen und siehe da: der treiber drnjfrx.sys ist der trojaner TR/agent.843776.22 ! löschen über antivir geht nicht, auch im abgesichtern modus kommt die meldung: quelldatei kann nicht gelöscht werden. umbenennen geht auch nicht. übrigens finde ich den trojaner auch in regedit: HKLM/controlset001/services/dnjfrx in allen controlsets 001 bis 012 sowie im CurrentControlSet wie bekomme ich das mistding runter? alles läuft gut und ruhig...nur im internet explorer scheint der trojaner aktiv zu sein und bringt mir den bluescreen, deswegen möchte ich auch nicht gleich das ganze system neu installieren. danke schonmal im voraus für hilfe... |
02.11.2010, 17:52 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? Hallo und
__________________Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
02.11.2010, 21:48 | #3 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? danke arne,
__________________hab Malwarebytes gestartet...jetzt hängt der scan aber seit etwa 45 minuten und 113044 durchsuchten objekten bei C://system volume information/systemrestore/s-1-5-21-822432078 v.v. soll ich abwarten oder den scan neu starten? |
02.11.2010, 22:05 | #4 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? nach 60 minuten warten hat er wieder angefangen weiterzuscannen....die logs poste ich dann |
02.11.2010, 23:44 | #5 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? hier sind die logdateien wobei am ende die info kommt dass die trojaner erfolgreich gelöscht wurden. bei der zweiten datei stimmt es, bei der bekannten datei DNJFRX.SYS stimmt es nicht: sie ist immernoch da. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5023 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18975 02.11.2010 23:19:01 mbam-log-2010-11-02 (23-19-01).txt Art des Suchlaufs: Vollst‰ndiger Suchlauf (C:\|) Durchsuchte Objekte: 356930 Laufzeit: 3 Stunde(n), 7 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschl¸ssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bˆsartigen Objekte gefunden) Infizierte Speichermodule: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungsschl¸ssel: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bˆsartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bˆsartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bˆsartigen Objekte gefunden) Infizierte Dateien: C:\Windows\System32\drivers\dnjfrx.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\Users\Michael Neumann\AppData\Roaming\jsdfgs.bat (Malware.Trace) -> Quarantined and deleted successfully. HIER DIE LOGDATEIEN VON OTL: OTL Logfile: Code:
ATTFilter OTL logfile created on: 02.11.2010 23:25:01 - Run 1 OTL by OldTimer - Version 3.2.17.2 Folder = G:\ Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18975) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 62,00% Memory free 9,00 Gb Paging File | 8,00 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): c:\pagefile.sys 6144 12288 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 452,86 Gb Total Space | 235,88 Gb Free Space | 52,09% Space Free | Partition Type: NTFS Drive G: | 3,75 Gb Total Space | 3,74 Gb Free Space | 99,83% Space Free | Partition Type: FAT32 Computer Name: MICHAELNEUMANN | User Name: Michael Neumann | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - G:\OTL.exe (OldTimer Tools) PRC - C:\Programme\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) PRC - \\?\C:\Windows\System32\wbem\WMIADAP.EXE () PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe (Sony Corporation) PRC - C:\Programme\Common Files\Sony Shared\SOHLib\SOHDms.exe (Sony Corporation) PRC - C:\Programme\Common Files\Sony Shared\SOHLib\SOHCImp.exe (Sony Corporation) PRC - C:\Programme\Common Files\Sony Shared\SOHLib\SOHDs.exe (Sony Corporation) PRC - C:\Programme\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe (Sony Corporation) PRC - C:\Programme\WIDCOMM\Bluetooth Software\btwdins.exe (Broadcom Corporation.) PRC - C:\Programme\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe (Sony Corporation) PRC - C:\Programme\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe (Sony Corporation) PRC - C:\Programme\sony\VAIO Event Service\VESMgr.exe (Sony Corporation) PRC - C:\Programme\sony\VAIO Event Service\VESMgrSub.exe (Sony Corporation) PRC - C:\Programme\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe (Sony Corporation) PRC - C:\Programme\sony\Network Utility\LANUtil.exe (Sony Corporation) PRC - C:\Programme\sony\Network Utility\NSUService.exe (Sony Corporation) PRC - C:\Programme\sony\VAIO Power Management\SPMgr.exe (Sony Corporation) PRC - C:\Programme\sony\VAIO Power Management\SPMService.exe (Sony Corporation) PRC - C:\Programme\sony\ISB Utility\ISBMgr.exe (Sony Corporation) PRC - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated) PRC - C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.) PRC - C:\Programme\Apoint\ApntEx.exe (Alps Electric Co., Ltd.) PRC - C:\Programme\Apoint\ApMsgFwd.exe (Alps Electric Co., Ltd.) PRC - C:\Programme\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe (ArcSoft, Inc.) PRC - C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation) PRC - C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation) PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation) PRC - C:\Windows\System32\lxblcoms.exe ( ) PRC - C:\Programme\Common Files\InterVideo\RegMgr\iviRegMgr.exe (InterVideo) ========== Modules (SafeList) ========== MOD - G:\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (VUAgent) -- C:\Program Files\sony\VAIO Update 5\VUAgent.exe File not found SRV - (Apple Mobile Device) -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (aspnet_state) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe (Microsoft Corporation) SRV - (WPFFontCache_v0400) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (Microsoft Corporation) SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (NetTcpPortSharing) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation) SRV - (NetTcpActivator) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation) SRV - (NetPipeActivator) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation) SRV - (NetMsmqActivator) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation) SRV - (ACDaemon) -- C:\Programme\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation) SRV - (FLEXnet Licensing Service) -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.) SRV - (CVPND) -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) SRV - (SOHPlMgr) -- C:\Program Files\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe (Sony Corporation) SRV - (SOHDms) -- C:\Program Files\Common Files\Sony Shared\SOHLib\SOHDms.exe (Sony Corporation) SRV - (SOHCImp) -- C:\Program Files\Common Files\Sony Shared\SOHLib\SOHCImp.exe (Sony Corporation) SRV - (SOHDs) -- C:\Program Files\Common Files\Sony Shared\SOHLib\SOHDs.exe (Sony Corporation) SRV - (SOHDBSvr) -- C:\Program Files\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe (Sony Corporation) SRV - (btwdins) -- C:\Programme\WIDCOMM\Bluetooth Software\btwdins.exe (Broadcom Corporation.) SRV - (VAIO Entertainment TV Device Arbitration Service) -- C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzHardwareResourceManager\VzHardwareResourceManager\VzHardwareResourceManager.exe (Sony Corporation) SRV - (Vcsw) -- C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe (Sony Corporation) SRV - (VzCdbSvc) -- C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe (Sony Corporation) SRV - (VcmIAlzMgr) -- C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe (Sony Corporation) SRV - (VAIO Event Service) -- C:\Program Files\sony\VAIO Event Service\VESMgr.exe (Sony Corporation) SRV - (VcmXmlIfHelper) -- C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe (Sony Corporation) SRV - (VCFw) -- C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe (Sony Corporation) SRV - (PACSPTISVR) -- C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe (Sony Corporation) SRV - (NSUService) -- C:\Program Files\sony\Network Utility\NSUService.exe (Sony Corporation) SRV - (VAIO Power Management) -- C:\Program Files\Sony\VAIO Power Management\SPMService.exe (Sony Corporation) SRV - (AdobeActiveFileMonitor7.0) -- C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated) SRV - (uCamMonitor) -- C:\Programme\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe (ArcSoft, Inc.) SRV - (EvtEng) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation) SRV - (RegSrvc) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation) SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation) SRV - (lxbl_device) -- C:\Windows\System32\lxblcoms.exe ( ) SRV - (IviRegMgr) -- C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (InterVideo) ========== Driver Services (SafeList) ========== DRV - (UIUSys) -- C:\Windows\System32\DRIVERS\UIUSYS.SYS File not found DRV - (tsudmdnt) -- C:\Windows\System32\drivers\tsudmdnt.sys File not found DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\Windows\System32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.) DRV - (RTHDMIAzAudService) -- C:\Windows\System32\drivers\RtHDMIV.sys (Realtek Semiconductor Corp.) DRV - (btwrchid) -- C:\Windows\System32\drivers\btwrchid.sys (Broadcom Corporation.) DRV - (btwavdt) -- C:\Windows\System32\drivers\btwavdt.sys (Broadcom Corporation.) DRV - (btwaudio) -- C:\Windows\System32\drivers\btwaudio.sys (Broadcom Corporation.) DRV - (btwl2cap) -- C:\Windows\System32\drivers\btwl2cap.sys (Broadcom Corporation.) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.) DRV - (DMICall) -- C:\Windows\System32\drivers\DMICall.sys (Sony Corporation) DRV - (SFEP) -- C:\Windows\System32\drivers\SFEP.sys (Sony Corporation) DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.) DRV - (risdptsk) -- C:\Windows\System32\drivers\risdptsk.sys (REDC) DRV - (rimsptsk) -- C:\Windows\System32\drivers\rimsptsk.sys (REDC) DRV - (ApfiltrService) -- C:\Windows\System32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.) DRV - (NETw5v32) Intel(R) -- C:\Windows\System32\drivers\NETw5v32.sys (Intel Corporation) DRV - (WimFltr) -- C:\Windows\System32\drivers\WimFltr.sys (Microsoft Corporation) DRV - (ArcSoftKsUFilter) -- C:\Windows\System32\drivers\ArcSoftKsUFilter.sys (ArcSoft, Inc.) DRV - (iaStor) -- C:\Windows\system32\DRIVERS\iaStor.sys (Intel Corporation) DRV - (yukonwlh) -- C:\Windows\System32\drivers\yk60x86.sys (Marvell) DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio.sys (Conexant Systems, Inc.) DRV - (HSF_DPV) -- C:\Windows\System32\drivers\HSX_DPV.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\Windows\System32\drivers\HSX_CNXT.sys (Conexant Systems, Inc.) DRV - (HSXHWAZL) -- C:\Windows\System32\drivers\HSXHWAZL.sys (Conexant Systems, Inc.) DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.) DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.) DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation) DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.) DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems) DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company) DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.) DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic) DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation) DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation) DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.) DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation) DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd) DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.) DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic) DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic) DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.) DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex) DRV - (HSFHWAZL) -- C:\Windows\System32\drivers\VSTAZL3.SYS (Conexant Systems, Inc.) DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.) DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation) DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation) DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.) DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.) DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.) DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.) DRV - (regi) -- C:\Windows\System32\drivers\regi.sys (InterVideo) DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.) DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation) DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.) DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation) DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH) DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.) DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.) DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.) DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic) DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic) DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation) DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic) DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.) DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.) DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.) DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.) DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.) DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.) DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=SNYT IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=SNYT IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=EU01 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.madonnalicious.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2010.06.02 21:03:55 | 000,000,000 | ---D | M] O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (Canon Easy-WebPrint EX BHO) - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Programme\Canon\Easy-WebPrint EX\ewpexbho.dll (CANON INC.) O3 - HKLM\..\Toolbar: (Canon Easy-WebPrint EX) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Programme\Canon\Easy-WebPrint EX\ewpexhlp.dll (CANON INC.) O3 - HKCU\..\Toolbar\WebBrowser: (Canon Easy-WebPrint EX) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Programme\Canon\Easy-WebPrint EX\ewpexhlp.dll (CANON INC.) O4 - HKLM..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe (Sony Corporation) O4 - HKLM..\Run: [RtHDVCpl] C:\Programme\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKCU..\Run: [NSUFloatingUI] C:\Program Files\Sony\Network Utility\LANUtil.exe (Sony Corporation) O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\VESWinlogon: DllName - VESWinlogon.dll - C:\Windows\System32\VESWinlogon.dll (Sony Corporation) O24 - Desktop WallPaper: C:\Users\Michael Neumann\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O24 - Desktop BackupWallPaper: C:\Users\Michael Neumann\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.11.02 20:02:14 | 000,000,000 | ---D | C] -- C:\Users\Michael Neumann\AppData\Roaming\Malwarebytes [2010.11.02 20:02:04 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2010.11.02 20:02:00 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2010.11.02 20:02:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2010.11.02 20:01:59 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.10.31 16:10:39 | 000,000,000 | ---D | C] -- C:\Users\Michael Neumann\Desktop\Florida Ricci [2010.10.31 16:10:30 | 000,000,000 | ---D | C] -- C:\Users\Michael Neumann\Desktop\Florida Carmen [2010.10.18 14:04:31 | 000,231,424 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msshsq.dll [2010.10.18 13:18:20 | 000,000,000 | ---D | C] -- C:\Windows\System32\MpEngineStore [2010.10.18 13:00:44 | 000,385,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\html.iec [2010.10.18 13:00:43 | 000,602,112 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll [2010.10.18 13:00:43 | 000,043,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\licmgr10.dll [2010.10.18 13:00:40 | 001,469,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl [2010.10.18 13:00:40 | 000,611,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll [2010.10.18 13:00:39 | 000,387,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll [2010.10.18 13:00:37 | 000,184,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll [2010.10.18 13:00:37 | 000,164,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll [2010.10.18 13:00:37 | 000,133,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe [2010.10.18 13:00:37 | 000,109,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesysprep.dll [2010.10.18 13:00:36 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ie4uinit.exe [2010.10.18 13:00:36 | 000,071,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesetup.dll [2010.10.18 13:00:36 | 000,055,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iernonce.dll [2010.10.18 13:00:36 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll [2010.10.18 13:00:36 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll [2010.10.18 13:00:36 | 000,013,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedssync.exe [2010.10.18 13:00:35 | 001,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb [2010.10.18 12:58:42 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\netevent.dll [2010.10.18 12:58:34 | 002,038,272 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys [2010.10.18 12:58:16 | 008,147,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wmploc.DLL [2010.10.18 12:57:10 | 000,954,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mfc40.dll [2010.10.18 12:57:09 | 000,954,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mfc40u.dll [2010.10.18 11:29:35 | 000,000,000 | ---D | C] -- C:\Users\Michael Neumann\Desktop\Kalender [2010.10.15 11:51:32 | 000,000,000 | ---D | C] -- C:\Users\Michael Neumann\Desktop\Beijing 2010-10 [2010.08.05 17:52:42 | 001,224,704 | ---- | C] ( ) -- C:\Windows\System32\lxblserv.dll [2010.08.05 17:52:42 | 000,995,328 | ---- | C] ( ) -- C:\Windows\System32\lxblusb1.dll [2010.08.05 17:52:42 | 000,643,072 | ---- | C] ( ) -- C:\Windows\System32\lxblpmui.dll [2010.08.05 17:52:42 | 000,585,728 | ---- | C] ( ) -- C:\Windows\System32\lxbllmpm.dll [2010.08.05 17:52:42 | 000,413,696 | ---- | C] ( ) -- C:\Windows\System32\lxblinpa.dll [2010.08.05 17:52:42 | 000,397,312 | ---- | C] ( ) -- C:\Windows\System32\lxbliesc.dll [2010.08.05 17:52:42 | 000,323,584 | ---- | C] ( ) -- C:\Windows\System32\LXBLhcp.dll [2010.08.05 17:52:42 | 000,163,840 | ---- | C] ( ) -- C:\Windows\System32\lxblprox.dll [2010.08.05 17:52:42 | 000,094,208 | ---- | C] ( ) -- C:\Windows\System32\lxblpplc.dll [2010.08.05 17:52:41 | 000,696,320 | ---- | C] ( ) -- C:\Windows\System32\lxblhbn3.dll [2010.08.05 17:52:40 | 000,684,032 | ---- | C] ( ) -- C:\Windows\System32\lxblcomc.dll [2010.08.05 17:52:40 | 000,421,888 | ---- | C] ( ) -- C:\Windows\System32\lxblcomm.dll [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.11.02 23:26:57 | 000,843,776 | ---- | M] () -- C:\Windows\System32\drivers\dnjfrx.sys [2010.11.02 23:21:27 | 000,065,536 | ---- | M] () -- C:\Windows\System32\Ikeext.etl [2010.11.02 23:21:14 | 000,003,616 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2010.11.02 23:21:14 | 000,003,616 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2010.11.02 23:21:10 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.11.02 23:20:13 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat [2010.11.02 20:16:46 | 000,670,946 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2010.11.02 20:16:46 | 000,631,636 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2010.11.02 20:16:46 | 000,144,082 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2010.11.02 20:16:46 | 000,118,262 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2010.10.31 18:41:21 | 000,038,912 | ---- | M] () -- C:\Users\Michael Neumann\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.10.25 21:15:18 | 000,972,108 | ---- | M] () -- C:\Users\Michael Neumann\Documents\fleischman4.JPG [2010.10.25 21:12:41 | 000,914,182 | ---- | M] () -- C:\Users\Michael Neumann\Documents\fleischman.JPG [2010.10.25 21:03:21 | 000,003,770 | ---- | M] () -- C:\Users\Michael Neumann\Documents\Fleischman.rtf [2010.10.23 17:38:49 | 000,330,664 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT [2010.10.23 17:36:48 | 000,001,356 | ---- | M] () -- C:\Users\Michael Neumann\AppData\Local\d3d9caps.dat [2010.10.23 15:45:58 | 000,946,848 | ---- | M] () -- C:\Users\Michael Neumann\Desktop\DSC02526.JPG [2010.10.23 15:37:37 | 330,803,873 | ---- | M] () -- C:\Windows\MEMORY.DMP [2010.10.19 10:41:44 | 000,222,080 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe [2010.10.18 13:18:22 | 000,000,184 | ---- | M] () -- C:\Windows\System32\MRT.INI [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.10.25 21:19:56 | 000,972,108 | ---- | C] () -- C:\Users\Michael Neumann\Documents\fleischman4.JPG [2010.10.25 21:17:12 | 000,914,182 | ---- | C] () -- C:\Users\Michael Neumann\Documents\fleischman.JPG [2010.10.25 20:50:37 | 000,003,770 | ---- | C] () -- C:\Users\Michael Neumann\Documents\Fleischman.rtf [2010.10.23 15:42:38 | 000,946,848 | ---- | C] () -- C:\Users\Michael Neumann\Desktop\DSC02526.JPG [2010.10.23 15:09:35 | 330,803,873 | ---- | C] () -- C:\Windows\MEMORY.DMP [2010.10.18 13:18:21 | 000,000,184 | ---- | C] () -- C:\Windows\System32\MRT.INI [2010.09.28 15:06:40 | 000,843,776 | ---- | C] () -- C:\Windows\System32\drivers\dnjfrx.sys [2010.08.05 17:52:42 | 000,274,432 | ---- | C] () -- C:\Windows\System32\LXBLinst.dll [2010.06.01 18:42:18 | 000,000,181 | ---- | C] () -- C:\Windows\WININIT.INI [2010.05.17 15:08:12 | 000,000,016 | ---- | C] () -- C:\Users\Michael Neumann\AppData\Roaming\qvjsge.dat [2010.04.20 15:34:33 | 000,165,376 | ---- | C] () -- C:\Windows\System32\unrar.dll [2010.04.15 22:08:56 | 000,001,356 | ---- | C] () -- C:\Users\Michael Neumann\AppData\Local\d3d9caps.dat [2009.10.23 10:16:45 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2009.09.20 18:01:17 | 000,038,912 | ---- | C] () -- C:\Users\Michael Neumann\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.08.23 20:41:22 | 000,197,424 | ---- | C] () -- C:\Windows\System32\vpnapi.dll [2009.04.23 14:54:56 | 000,000,000 | ---- | C] () -- C:\Windows\VAIOUpdt.INI [2009.03.20 19:22:53 | 000,011,264 | ---- | C] () -- C:\Windows\System32\atimuixx.dll [2009.03.20 19:21:36 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll [2006.11.02 13:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 11:25:26 | 000,557,568 | ---- | C] () -- C:\Windows\System32\hpotscl1.dll [2006.11.02 08:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini < End of report > UND DIE EXTRA LOGDATEI: OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 02.11.2010 23:25:01 - Run 1 OTL by OldTimer - Version 3.2.17.2 Folder = G:\ Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18975) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 62,00% Memory free 9,00 Gb Paging File | 8,00 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): c:\pagefile.sys 6144 12288 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 452,86 Gb Total Space | 235,88 Gb Free Space | 52,09% Space Free | Partition Type: NTFS Drive G: | 3,75 Gb Total Space | 3,74 Gb Free Space | 99,83% Space Free | Partition Type: FAT32 Computer Name: MICHAELNEUMANN | User Name: Michael Neumann | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation) .hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation) inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 "VistaSp1" = Reg Error: Unknown registry data type -- File not found "VistaSp2" = Reg Error: Unknown registry data type -- File not found [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 1 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "EnableFirewall" = 1 "DisableNotifications" = 0 ========== Authorized Applications List ========== ========== Vista Active Open Ports Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{0789B82B-C663-4075-BCB8-3DFB8BED6A18}" = lport=808 | protocol=6 | dir=in | svc=nettcpactivator | app=c:\windows\microsoft.net\framework\v4.0.30319\smsvchost.exe | ========== Vista Active Application Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{2130D9D8-3EB3-4A08-88BE-AAA48D3AEABE}" = protocol=6 | dir=out | app=c:\program files\rosetta stone\rosetta stone version 3\rosettastoneversion3.exe | "{3F272931-DF4C-4DDB-8EE1-513AFA2902B6}" = dir=in | app=c:\program files\rosetta stone\rosetta stone version 3\support\bin\win\rosettastoneltdservices.exe | "{42446738-A055-47E4-A439-ED530C1D958E}" = protocol=6 | dir=out | app=c:\program files\rosetta stone\rosetta stone version 3\support\bin\win\rosettastoneltdservices.exe | "{7D3EA4FF-6D88-49F7-ADD4-5F40019C0C35}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | "{8A33EFBC-230F-4F40-AC32-DA3E6899E22E}" = protocol=17 | dir=in | app=c:\program files\common files\sony shared\sohlib\sohdms.exe | "{92BC1B0B-0096-4A50-8D4B-8F7B9BEDF19D}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | "{9D257534-E5B1-4CBB-AAE0-193ABBE63B6D}" = protocol=6 | dir=in | app=c:\program files\common files\sony shared\sohlib\sohds.exe | "{C5C9B5D5-0B90-4CA3-A059-9F595AA455FF}" = protocol=17 | dir=in | app=c:\program files\common files\sony shared\sohlib\sohds.exe | "{C8E1D705-F504-485C-B700-52AFA2050180}" = protocol=6 | dir=in | app=c:\program files\itunes\itunes.exe | "{DCF2C30E-3459-4FA0-B96C-9D0E3CB86D8C}" = protocol=6 | dir=in | app=c:\program files\common files\sony shared\sohlib\sohdms.exe | "{E100808A-5307-43A8-9336-33C8DB81AA01}" = protocol=6 | dir=in | app=c:\windows\system32\lxblcoms.exe | "{E1A40785-2A26-4167-854D-D142B1826D34}" = protocol=17 | dir=in | app=c:\program files\sony\vaio media plus\vmp.exe | "{EE5C72B7-185F-4890-9AB2-7340CBB575B5}" = protocol=6 | dir=in | app=c:\program files\sony\vaio media plus\vmp.exe | "{F2404F0A-A668-4301-A5D6-837E20A5F8D7}" = dir=in | app=c:\program files\rosetta stone\rosetta stone version 3\rosettastoneversion3.exe | "{F7F79379-1041-41C4-B971-0D55A0306240}" = protocol=17 | dir=in | app=c:\program files\common files\sony shared\sohlib\sohcimp.exe | "{F9AFBA0B-6967-4ACA-A983-34B691EEFD10}" = protocol=17 | dir=in | app=c:\windows\system32\lxblcoms.exe | "{FF822759-57FA-4E41-A8E0-58D519F06CE4}" = protocol=6 | dir=in | app=c:\program files\common files\sony shared\sohlib\sohcimp.exe | "TCP Query User{114F90AD-6DF1-46A4-86E2-29C8ECDE4D17}C:\program files\internet explorer\iexplore.exe" = protocol=6 | dir=in | app=c:\program files\internet explorer\iexplore.exe | "TCP Query User{57DCF4BC-F34B-415F-83A3-88629730F3BA}C:\program files\quicktime\quicktimeplayer.exe" = protocol=6 | dir=in | app=c:\program files\quicktime\quicktimeplayer.exe | "TCP Query User{8F6188FE-D254-4DBA-9ECC-E05F1008CFB8}C:\program files\real\realplayer\realplay.exe" = protocol=6 | dir=in | app=c:\program files\real\realplayer\realplay.exe | "UDP Query User{2E5FF754-9054-4FB8-A198-935243ACF2FD}C:\program files\real\realplayer\realplay.exe" = protocol=17 | dir=in | app=c:\program files\real\realplayer\realplay.exe | "UDP Query User{5F9A13CE-0B8C-40DC-B9FF-845CE7DF57DB}C:\program files\internet explorer\iexplore.exe" = protocol=17 | dir=in | app=c:\program files\internet explorer\iexplore.exe | "UDP Query User{7CB0D432-E869-4DA7-84E9-2D9DB0BE23F9}C:\program files\quicktime\quicktimeplayer.exe" = protocol=17 | dir=in | app=c:\program files\quicktime\quicktimeplayer.exe | ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{01FDC9FC-4D4F-4DB0-ACD1-D3E8E1D52902}" = Sony Video Shared Library "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{068F037B-2723-48E3-85F1-4D7D93A29D2A}" = VAIO Content Metadata Intelligent Analyzing Manager "{08B785C1-3893-4154-B53B-F5D341D0AAAA}" = Cisco Systems VPN Client 5.0.06.0110 "{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4700_series" = Canon iP4700 series Printer Driver "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{14291118-0C19-45EA-A4FA-5C1C0F5FDE09}" = Primo "{15D5C238-4C2E-4AEA-A66D-D6989A4C586B}" = VAIO Launcher "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{19B683DF-B562-4C0B-8AAA-2A92409D190A}" = Sony Home Network Library "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{2018C019-30D9-4240-8C01-0865C10DCF5A}" = Unterstützung für VAIO-Präsentation "{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = WinDVD BD for VAIO "{23825B69-36DF-4DAD-9CFD-118D11D80F16}" = VAIO Content Folder Setting "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 17 "{2878C3C9-9D91-430F-8F50-885BB23DB001}" = VAIO Content Folder Watcher "{2CE5A2E7-3437-4CE7-BCF4-85ED6EEFF9E4}" = iTunes "{327B75F0-92AF-420A-988F-FA596A218E0B}" = VAIO Content Folder Watcher "{36BDB1C2-CC66-41EB-B7DD-76339A7BB046}" = VAIO Edit Components "{3B659FAD-E772-44A3-B7E7-560FF084669F}" = VAIO Smart Network "{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{52A7C6A6-6B88-47D1-922E-9F8A7E089E6A}" = Intel(R) PROSet/Wireless WiFi-Software "{547FD64B-98D9-1D8F-9001-BE027E3A7BD8}" = Catalyst Control Center InstallProxy "{5511C07D-A83C-45AD-92B6-42DF99729A3C}" = Adobe Photoshop Elements 7.0 "{573F1931-08F7-9222-704E-841C391794C5}" = ATI Catalyst Install Manager "{57B955CE-B5D3-495D-AF1B-FAEE0540BFEF}" = VAIO Data Restore Tool "{596BED91-A1D8-4DF1-8CD1-1C777F7588AC}" = VAIO DVD Menu Data Basic "{5F5867F0-2D23-4338-A206-01A76C823924}" = VAIO Energie Verwaltung "{64DBE9FE-A07D-41A0-B81A-8D416D9647FF}" = VAIO Content Folder Watcher "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{69C8B1E3-2665-4A0F-B049-67746E5C4CE3}" = Software Info for Me&My VAIO "{6B1F20F2-6321-4669-A58C-33DF8E7517FF}" = VAIO Entertainment Platform "{72042FA6-5609-489F-A8EA-3C2DD650F667}" = VAIO Control Center "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762 "{76D7CCD6-8369-405C-B494-5F34FAE67249}" = Me&My VAIO "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{7BB90344-0647-468E-925A-7F69F7983421}" = ArcSoft Magic-i Visual Effects 2 "{83CDA18E-0BF3-4ACA-872C-B4CDABF2360E}" = VAIO Update 4 "{84359478-0A6D-11DE-A363-BA3056D89593}" = Rosetta Stone Version 3 "{85AF94EC-55DE-452A-8FD7-C34E598B3F1F}" = Adobe Premiere Elements 7.0 Templates "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003 "{96D0B6C6-5A72-4B47-8583-A87E55F5FE81}" = "{9973498D-EA29-4A68-BE0B-C88D6E03E928}" = ArcSoft WebCam Companion 2 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Alps Pointing-device for VAIO "{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable "{A63E7492-A0BC-4BB9-89A7-352965222380}" = VAIO Original Function Setting "{A7DA438C-2E43-4C20-BFDA-C1F4A6208558}" = Setting Utility Series "{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder "{A9D3D707-4A1A-4227-BE6E-F16448B4CB63}" = VAIO Entertainment Platform "{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter "{AC76BA86-7AD7-1031-7B44-A90100000001}" = Adobe Reader 9.0.1 - Deutsch "{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{B7C03E84-AF46-42F4-809D-D4127D9086D0}" = VAIO Edit Components 6.5 "{BFD85D24-D4F3-4CCC-B518-D7C4FC29C76D}" = VAIO Content Metadata Intelligent Analyzing Manager "{C1555BC5-88B1-466B-BC79-062B5715DF92}" = VAIO Content Metadata XML Interface Library "{C62AEA0E-90B0-4049-9780-8499A18A34D7}" = VAIO Content Metadata Manager Setting "{C7477742-DDB4-43E5-AC8D-0259E1E661B1}" = VAIO Event Service "{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack "{CB6075D9-F912-40AE-BEA6-E590DA24F16B}" = Adobe Photoshop Elements 7.0 "{CCA1EEA3-555E-4D05-AC46-4B49C6C5D887}" = Apple Mobile Device Support "{CD7E6232-D41D-4E5B-ABE1-0264B6260309}" = VAIO Content Metadata Intelligent Analyzing Manager "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D035FBF6-FDEF-487D-89CA-6F9DD07B783F}" = Dolby Control Center "{D03D02D8-AB64-4785-A48E-5AA8B0FB8C14}" = Sony Home Network Library "{D239B547-8B20-4BDE-888D-C9CCA823FFD8}" = WIDCOMM Bluetooth Software "{D564B5E2-CCB5-4A5C-B35E-2FC30BBC9336}" = Adobe Premiere Elements 7.0 "{DABF43D9-1104-4764-927B-5BED1274A3B0}" = Runtime "{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}" = Apple Application Support "{DEF97A70-C67D-41E1-837C-6462C97A6F65}" = OpenMG Secure Module 5.3.00 "{E3453B1B-C91B-4C48-B046-8DF635DD46F2}" = VAIO Content Metadata XML Interface Library "{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime "{EADE97A7-E7AA-43FD-A042-92A68E0187A6}" = VAIO Content Metadata Manager Setting "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0 "{F570A6CC-53ED-4AA9-8B08-551CD3E38D8B}" = "{F6234880-85BE-4DCB-8A45-1FF85A1A8552}" = SmartSound Quicktracks for Premiere Elements "{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}" = Bonjour "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Photoshop Elements 7" = Adobe Photoshop Elements 7.0 "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Canon iP4300 Benutzerregistrierung" = Canon iP4300 Benutzerregistrierung "Canon iP4700 series Benutzerregistrierung" = Canon iP4700 series Benutzerregistrierung "CanonMyPrinter" = Canon Utilities My Printer "CanonSolutionMenu" = Canon Utilities Solution Menu "CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_104D0200" = HDAUDIO SoftV92 Data Fax Modem with SmartCP "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "dt icon module" = "Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX "Easy-WebPrint EX" = Canon Easy-WebPrint EX "InstallShield_{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = WinDVD BD for VAIO "InstallShield_{DEF97A70-C67D-41E1-837C-6462C97A6F65}" = OpenMG Secure Module 5.3.00 "InstallShield_{F6234880-85BE-4DCB-8A45-1FF85A1A8552}" = SmartSound Quicktracks for Premiere Elements "Lexmark Z700-P700 Series" = Lexmark Z700-P700 Series "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "MediaNavigation.CDLabelPrint" = CD-LabelPrint "MFU Module" = "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended "Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack "PhotoStitch" = Canon Utilities PhotoStitch "PremElem70" = Adobe Premiere Elements 7.0 "PremElem70Templates" = Adobe Premiere Elements 7.0 Templates "ProInst" = Intel PROSet Wireless "RealPlayer 12.0" = RealPlayer "VAIO Help and Support" = "WinRAR archiver" = WinRAR ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 29.09.2010 10:21:46 | Computer Name = MichaelNeumann | Source = WinMgmt | ID = 10 Description = Error - 29.09.2010 10:21:52 | Computer Name = MichaelNeumann | Source = VzCdbSvc | ID = 7 Description = Das Plug-In-Modul konnte nicht geladen werden. (GUID = {56F9312C-C989-4E04-8C23-299DEE3A36F5}) (Fehlercode = 0x80042019) Error - 29.09.2010 10:24:28 | Computer Name = MichaelNeumann | Source = WinMgmt | ID = 10 Description = Error - 29.09.2010 10:24:34 | Computer Name = MichaelNeumann | Source = VzCdbSvc | ID = 7 Description = Das Plug-In-Modul konnte nicht geladen werden. (GUID = {56F9312C-C989-4E04-8C23-299DEE3A36F5}) (Fehlercode = 0x80042019) Error - 29.09.2010 10:46:50 | Computer Name = MichaelNeumann | Source = WinMgmt | ID = 10 Description = Error - 29.09.2010 10:46:54 | Computer Name = MichaelNeumann | Source = VzCdbSvc | ID = 7 Description = Das Plug-In-Modul konnte nicht geladen werden. (GUID = {56F9312C-C989-4E04-8C23-299DEE3A36F5}) (Fehlercode = 0x80042019) Error - 29.09.2010 11:14:57 | Computer Name = MichaelNeumann | Source = WinMgmt | ID = 10 Description = Error - 29.09.2010 11:14:58 | Computer Name = MichaelNeumann | Source = VzCdbSvc | ID = 7 Description = Das Plug-In-Modul konnte nicht geladen werden. (GUID = {56F9312C-C989-4E04-8C23-299DEE3A36F5}) (Fehlercode = 0x80042019) Error - 05.10.2010 16:27:30 | Computer Name = MichaelNeumann | Source = VzCdbSvc | ID = 7 Description = Das Plug-In-Modul konnte nicht geladen werden. (GUID = {56F9312C-C989-4E04-8C23-299DEE3A36F5}) (Fehlercode = 0x80042019) Error - 05.10.2010 16:27:30 | Computer Name = MichaelNeumann | Source = WinMgmt | ID = 10 Description = [ System Events ] Error - 02.11.2010 10:40:50 | Computer Name = MichaelNeumann | Source = DCOM | ID = 10005 Description = Error - 02.11.2010 10:40:57 | Computer Name = MichaelNeumann | Source = DCOM | ID = 10005 Description = Error - 02.11.2010 10:41:00 | Computer Name = MichaelNeumann | Source = DCOM | ID = 10005 Description = Error - 02.11.2010 10:41:01 | Computer Name = MichaelNeumann | Source = DCOM | ID = 10005 Description = Error - 02.11.2010 10:41:06 | Computer Name = MichaelNeumann | Source = Microsoft-Windows-WLAN-AutoConfig | ID = 10000 Description = Error - 02.11.2010 10:42:10 | Computer Name = MichaelNeumann | Source = Service Control Manager | ID = 7001 Description = Error - 02.11.2010 10:42:10 | Computer Name = MichaelNeumann | Source = Service Control Manager | ID = 7026 Description = Error - 02.11.2010 10:47:16 | Computer Name = MichaelNeumann | Source = Service Control Manager | ID = 7000 Description = Error - 02.11.2010 15:09:23 | Computer Name = MichaelNeumann | Source = Service Control Manager | ID = 7000 Description = Error - 02.11.2010 18:21:58 | Computer Name = MichaelNeumann | Source = Service Control Manager | ID = 7000 Description = < End of report > |
03.11.2010, 00:00 | #6 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? Ich hab Malwarebytes nochmals einen quickscan machen lassen und die selbe datei ist nach dem neustart wie gesagt noch da: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5023 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18975 02.11.2010 23:51:09 mbam-log-2010-11-02 (23-51-09)3 Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 137161 Laufzeit: 4 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\system32\Drivers\dnjfrx.sys (Rootkit.Agent) -> No action taken. |
03.11.2010, 13:35 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL DRV - (tsudmdnt) -- C:\Windows\System32\drivers\tsudmdnt.sys File not found [2010.11.02 23:26:57 | 000,843,776 | ---- | M] () -- C:\Windows\System32\drivers\dnjfrx.sys [2010.05.17 15:08:12 | 000,000,016 | ---- | C] () -- C:\Users\Michael Neumann\AppData\Roaming\qvjsge.dat :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
03.11.2010, 14:05 | #8 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? Hallo Arne, Dies ist die logdatei nach dem OTL FIX: ��All processes killed ========== OTL ========== Service tsudmdnt stopped successfully! Service tsudmdnt deleted successfully! File C:\Windows\System32\drivers\tsudmdnt.sys File not found not found. File C:\Windows\System32\drivers\dnjfrx.sys not found. C:\Users\Michael Neumann\AppData\Roaming\qvjsge.dat moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Michael Neumann ->Temp folder emptied: 21234943 bytes ->Temporary Internet Files folder emptied: 731447445 bytes ->Java cache emptied: 60144694 bytes ->Flash cache emptied: 2026269 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 76660048 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 850,00 mb OTL by OldTimer - Version 3.2.17.2 log created on 11032010_134616 Files\Folders moved on Reboot... Registry entries deleted on Reboot... und nach einem erneuten qucikscan stelle chleider fest, dass er immernoch da ist: wobei der eintrag, dass er gelöscht wurde nicht stimmt, nach neustart verbleibt die datei wo ist ist, mit änderungsdatum genau zu der zeit, wo der neustart stattgefunden hat. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5023 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18975 03.11.2010 13:56:45 mbam-log-2010-11-03 (13-56-45).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 136755 Laufzeit: 4 Minute(n), 44 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschl¸ssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bˆsartigen Objekte gefunden) Infizierte Speichermodule: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungsschl¸ssel: (Keine bˆsartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bˆsartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bˆsartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bˆsartigen Objekte gefunden) Infizierte Dateien: C:\Windows\system32\Drivers\dnjfrx.sys (Rootkit.Agent) -> Quarantined and deleted successfully. |
03.11.2010, 14:13 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
03.11.2010, 15:12 | #10 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? Folgende Logdatei hab ich erhalten: Combofix Logfile: Code:
ATTFilter ComboFix 10-11-02.05 - Michael Neumann 03.11.2010 14:54:27.3.2 - x86 MicrosoftÆ Windows Vistaô Home Premium 6.0.6002.2.1252.49.1031.18.3038.1677 [GMT 1:00] ausgef¸hrt von:: c:\users\Michael Neumann\Desktop\CoFi.exe SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Lˆschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\ddgw.sys c:\windows\system32\spool\prtprocs\w32x86\CNMPD86.DLL c:\windows\system32\spool\prtprocs\w32x86\CNMPP86.DLL c:\windows\system32\Thumbs.db . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_jmgerujr ((((((((((((((((((((((( Dateien erstellt von 2010-10-03 bis 2010-11-03 )))))))))))))))))))))))))))))) . 2010-11-03 13:57 . 2010-11-03 14:00 -------- d-----w- c:\users\Michael Neumann\AppData\Local\temp 2010-11-03 13:57 . 2010-11-03 13:57 -------- d-----w- c:\users\Default\AppData\Local\temp 2010-11-03 13:51 . 2010-11-03 13:53 -------- d-----w- C:\CoFi 2010-11-03 13:41 . 2010-11-03 13:41 -------- d-----w- c:\program files\CCleaner 2010-11-02 19:02 . 2010-11-02 19:02 -------- d-----w- c:\users\Michael Neumann\AppData\Roaming\Malwarebytes 2010-11-02 19:02 . 2010-04-29 11:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-02 19:02 . 2010-11-02 19:02 -------- d-----w- c:\programdata\Malwarebytes 2010-11-02 19:02 . 2010-04-29 11:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-02 19:01 . 2010-11-02 19:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-10-23 13:29 . 2010-10-07 23:21 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C8A2F8B7-9717-4786-A1E4-654773BD53A0}\mpengine.dll 2010-10-18 13:04 . 2010-05-04 19:13 231424 ----a-w- c:\windows\system32\msshsq.dll 2010-10-18 12:18 . 2010-10-18 12:58 -------- d-----w- c:\windows\system32\MpEngineStore 2010-10-18 11:59 . 2010-08-31 15:44 531968 ----a-w- c:\windows\system32\comctl32.dll 2010-10-18 11:59 . 2010-08-10 15:53 274944 ----a-w- c:\windows\system32\schannel.dll 2010-10-18 11:58 . 2010-09-06 16:20 125952 ----a-w- c:\windows\system32\srvsvc.dll 2010-10-18 11:58 . 2010-09-06 13:45 304128 ----a-w- c:\windows\system32\drivers\srv.sys 2010-10-18 11:58 . 2010-09-06 13:45 145408 ----a-w- c:\windows\system32\drivers\srv2.sys 2010-10-18 11:58 . 2010-09-06 13:45 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys 2010-10-18 11:58 . 2010-09-06 16:19 17920 ----a-w- c:\windows\system32\netevent.dll 2010-10-18 11:58 . 2010-08-31 13:27 2038272 ----a-w- c:\windows\system32\win32k.sys 2010-10-18 11:58 . 2010-09-13 13:56 168960 ----a-w- c:\program files\Windows Media Player\wmplayer.exe 2010-10-18 11:58 . 2010-09-13 13:56 8147456 ----a-w- c:\windows\system32\wmploc.DLL 2010-10-18 11:57 . 2010-08-31 15:46 954752 ----a-w- c:\windows\system32\mfc40.dll 2010-10-18 11:57 . 2010-08-31 15:46 954288 ----a-w- c:\windows\system32\mfc40u.dll 2010-10-18 11:57 . 2010-06-28 17:00 1316864 ----a-w- c:\windows\system32\ole32.dll 2010-10-18 11:57 . 2010-06-28 14:54 339968 ----a-w- c:\program files\Windows NT\Accessories\wordpad.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-10-19 09:41 . 2009-10-05 19:16 222080 ------w- c:\windows\system32\MpSigStub.exe 2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts 2010-08-17 14:11 . 2010-09-15 14:59 128000 ----a-w- c:\windows\system32\spoolsv.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-12-21 274432] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\program files\Apoint\Apoint.exe" [2008-09-30 122880] "ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2008-12-18 317288] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-01-06 6703648] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160] " Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon] 2009-01-19 10:49 98304 ------w- c:\windows\System32\VESWinlogon.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk] path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk backup=c:\windows\pss\VPN Client.lnk.CommonStartup backupExtension=.CommonStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AML] 2009-03-09 09:13 1101824 ----a-w- c:\program files\sony\VAIO Launcher\AML.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter] 2009-07-27 02:10 1983816 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu] 2009-03-18 01:40 767312 ----a-w- c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-09-24 00:10 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-09-08 09:17 421888 ----a-w- c:\program files\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2010-06-02 20:03 202256 ----a-w- c:\program files\Common Files\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender] 2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-02-10 29736] R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-01-19 394536] R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [2009-01-16 83240] R3 VUAgent;VUAgent;c:\program files\sony\VAIO Update 5\VUAgent.exe [x] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504] S2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-12-08 169312] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336] S2 lxbl_device;lxbl_device;c:\windows\system32\lxblcoms.exe [2007-04-20 537520] S2 NSUService;NSUService;c:\program files\sony\Network Utility\NSUService.exe [2008-12-21 303104] S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032] S2 SOHCImp;VAIO Media plus Content Importer;c:\program files\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-02-05 120104] S2 SOHDBSvr;VAIO Media plus Database Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-02-05 70952] S2 SOHDms;VAIO Media plus Digital Media Server;c:\program files\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-02-05 390440] S2 SOHDs;VAIO Media plus Device Searcher;c:\program files\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-02-05 75048] S2 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-02-05 91432] S2 uCamMonitor;CamMonitor;c:\program files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960] S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2008-12-19 415592] S2 VCFw;VAIO Content Folder Watcher;c:\program files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-01-14 5184872] S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [2008-04-24 17920] S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-08-28 3664384] S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2008-11-19 9344] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - dnjfrx [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . . ------- Zus‰tzlicher Suchlauf ------- . uStart Page = hxxp://www.madonnalicious.com/ mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=SNYT uInternet Settings,ProxyOverride = *.local IE: Bild an &Bluetooth-Ger‰t senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Seite an &Bluetooth-Ger‰t senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm . - - - - Entfernte verwaiste Registrierungseintr‰ge - - - - MSConfigStartUp-MarketingTools - c:\program files\Sony\Marketing Tools\MarketingTools.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-11-03 15:01 Windows 6.0.6002 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteintr‰ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dnjfrx] . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 "MSCurrentCountry"=dword:00000042 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'Explorer.exe'(1208) c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\WLANExt.exe c:\windows\system32\Ati2evxx.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe c:\program files\Avira\AntiVir Desktop\avshadow.exe c:\program files\Cisco Systems\VPN Client\cvpnd.exe c:\program files\Intel\WiFi\bin\EvtEng.exe c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe c:\program files\sony\VAIO Event Service\VESMgr.exe c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe c:\windows\system32\DllHost.exe c:\program files\sony\VAIO Event Service\VESMgrSub.exe c:\windows\system32\DllHost.exe c:\windows\system32\WUDFHost.exe c:\windows\system32\DRIVERS\xaudio.exe c:\program files\Sony\VAIO Power Management\SPMgr.exe c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe c:\windows\system32\conime.exe c:\program files\Apoint\ApMsgFwd.exe c:\program files\Apoint\Apntex.exe c:\program files\iPod\bin\iPodService.exe c:\\?\c:\windows\system32\wbem\WMIADAP.EXE . ************************************************************************** . Zeit der Fertigstellung: 2010-11-03 15:05:12 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-11-03 14:05 Vor Suchlauf: 14 Verzeichnis(se), 255.205.494.784 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 254.875.586.560 Bytes frei - - End Of File - - 21A2B881728A37589317406D62DCC005 ICH HABE ÜBRIGENS DAS PROBLEM NICHT MEHR IN MEINE SYSTEMSTEUERUNG ZU KOMMEN. ES KOMMT DIE MELDUNG: ES WURDE VERSUCHT EINEN REGISTRIERUNGSSCHLÜSSEL EINEM UNZULÄSSIGEN VORGANG ZU UNTERZIEHEN DER ZUM LÖSCHEN MARKIERT WURDE. AUSSERDEM IST DIE DATEI IMMERNOCH VORHANDEN: DNFJRX.SYS. |
03.11.2010, 15:18 | #11 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? alle programme laufen...nur ist wie gesagt die datei noch da... Geändert von michaelberli (03.11.2010 um 15:28 Uhr) |
03.11.2010, 15:32 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? Immer mit der Ruhe, Du brauchst nicht gleich zu schreien Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dnjfrx] File:: C:\Windows\system32\Drivers\dnjfrx.sys Driver:: dnjfrx 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
03.11.2010, 15:37 | #13 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? LOL...sorry...hat man das soweit gehört |
03.11.2010, 16:02 | #14 |
| Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? Combofix Logfile: Code:
ATTFilter ComboFix 10-11-02.05 - Michael Neumann 03.11.2010 15:42:02.5.2 - x86 MicrosoftÆ Windows Vistaô Home Premium 6.0.6002.2.1252.49.1031.18.3038.1798 [GMT 1:00] ausgef¸hrt von:: c:\users\Michael Neumann\Desktop\CoFi.exe Benutzte Befehlsschalter :: c:\users\Michael Neumann\Desktop\CFScript.txt SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt FILE :: "c:\windows\system32\Drivers\dnjfrx.sys" . (((((((((((((((((((((((((((((((((((( Weitere Lˆschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_DNJFRX -------\Service_dnjfrx ((((((((((((((((((((((( Dateien erstellt von 2010-10-03 bis 2010-11-03 )))))))))))))))))))))))))))))) . 2010-11-03 14:48 . 2010-11-03 14:52 -------- d-----w- c:\users\Michael Neumann\AppData\Local\temp 2010-11-03 14:48 . 2010-11-03 14:48 -------- d-----w- c:\users\Default\AppData\Local\temp 2010-11-03 13:51 . 2010-11-03 13:53 -------- d-----w- C:\CoFi 2010-11-03 13:41 . 2010-11-03 13:41 -------- d-----w- c:\program files\CCleaner 2010-11-02 19:02 . 2010-11-02 19:02 -------- d-----w- c:\users\Michael Neumann\AppData\Roaming\Malwarebytes 2010-11-02 19:02 . 2010-04-29 11:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-02 19:02 . 2010-11-02 19:02 -------- d-----w- c:\programdata\Malwarebytes 2010-11-02 19:02 . 2010-04-29 11:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-02 19:01 . 2010-11-02 19:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-10-23 13:29 . 2010-10-07 23:21 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C8A2F8B7-9717-4786-A1E4-654773BD53A0}\mpengine.dll 2010-10-18 13:04 . 2010-05-04 19:13 231424 ----a-w- c:\windows\system32\msshsq.dll 2010-10-18 12:18 . 2010-10-18 12:58 -------- d-----w- c:\windows\system32\MpEngineStore 2010-10-18 11:59 . 2010-08-31 15:44 531968 ----a-w- c:\windows\system32\comctl32.dll 2010-10-18 11:59 . 2010-08-10 15:53 274944 ----a-w- c:\windows\system32\schannel.dll 2010-10-18 11:58 . 2010-09-06 16:20 125952 ----a-w- c:\windows\system32\srvsvc.dll 2010-10-18 11:58 . 2010-09-06 13:45 304128 ----a-w- c:\windows\system32\drivers\srv.sys 2010-10-18 11:58 . 2010-09-06 13:45 145408 ----a-w- c:\windows\system32\drivers\srv2.sys 2010-10-18 11:58 . 2010-09-06 13:45 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys 2010-10-18 11:58 . 2010-09-06 16:19 17920 ----a-w- c:\windows\system32\netevent.dll 2010-10-18 11:58 . 2010-08-31 13:27 2038272 ----a-w- c:\windows\system32\win32k.sys 2010-10-18 11:58 . 2010-09-13 13:56 168960 ----a-w- c:\program files\Windows Media Player\wmplayer.exe 2010-10-18 11:58 . 2010-09-13 13:56 8147456 ----a-w- c:\windows\system32\wmploc.DLL 2010-10-18 11:57 . 2010-08-31 15:46 954752 ----a-w- c:\windows\system32\mfc40.dll 2010-10-18 11:57 . 2010-08-31 15:46 954288 ----a-w- c:\windows\system32\mfc40u.dll 2010-10-18 11:57 . 2010-06-28 17:00 1316864 ----a-w- c:\windows\system32\ole32.dll 2010-10-18 11:57 . 2010-06-28 14:54 339968 ----a-w- c:\program files\Windows NT\Accessories\wordpad.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-03 14:49 . 2010-09-28 14:06 843776 ----a-w- c:\windows\system32\drivers\dnjfrx.sys 2010-10-19 09:41 . 2009-10-05 19:16 222080 ------w- c:\windows\system32\MpSigStub.exe 2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts 2010-08-17 14:11 . 2010-09-15 14:59 128000 ----a-w- c:\windows\system32\spoolsv.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-12-21 274432] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\program files\Apoint\Apoint.exe" [2008-09-30 122880] "ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2008-12-18 317288] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-01-06 6703648] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160] " Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon] 2009-01-19 10:49 98304 ------w- c:\windows\System32\VESWinlogon.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk] path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk backup=c:\windows\pss\VPN Client.lnk.CommonStartup backupExtension=.CommonStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AML] 2009-03-09 09:13 1101824 ----a-w- c:\program files\sony\VAIO Launcher\AML.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter] 2009-07-27 02:10 1983816 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu] 2009-03-18 01:40 767312 ----a-w- c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-09-24 00:10 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-09-08 09:17 421888 ----a-w- c:\program files\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2010-06-02 20:03 202256 ----a-w- c:\program files\Common Files\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender] 2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-02-10 29736] S2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-12-08 169312] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336] S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [2008-04-24 17920] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . . ------- Zus‰tzlicher Suchlauf ------- . uStart Page = hxxp://www.madonnalicious.com/ mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=SNYT uInternet Settings,ProxyOverride = *.local IE: Bild an &Bluetooth-Ger‰t senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Seite an &Bluetooth-Ger‰t senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm . ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteintr‰ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 "MSCurrentCountry"=dword:00000042 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'Explorer.exe'(3568) c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\WLANExt.exe c:\windows\system32\Ati2evxx.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe c:\program files\Cisco Systems\VPN Client\cvpnd.exe c:\program files\Intel\WiFi\bin\EvtEng.exe c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe c:\program files\Avira\AntiVir Desktop\avshadow.exe c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe c:\windows\system32\lxblcoms.exe c:\program files\sony\Network Utility\NSUService.exe c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe c:\program files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe c:\program files\sony\VAIO Event Service\VESMgr.exe c:\windows\system32\DllHost.exe c:\program files\Sony\VAIO Power Management\SPMService.exe c:\program files\sony\VAIO Event Service\VESMgrSub.exe c:\windows\system32\DllHost.exe c:\program files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe c:\windows\system32\DRIVERS\xaudio.exe c:\windows\system32\WUDFHost.exe c:\program files\Sony\VAIO Power Management\SPMgr.exe c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe c:\windows\system32\conime.exe c:\program files\Apoint\ApMsgFwd.exe c:\program files\Apoint\Apntex.exe c:\program files\iPod\bin\iPodService.exe c:\\?\c:\windows\system32\wbem\WMIADAP.EXE . ************************************************************************** . Zeit der Fertigstellung: 2010-11-03 15:56:36 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-11-03 14:56 ComboFix2.txt 2010-11-03 14:05 Vor Suchlauf: 17 Verzeichnis(se), 251.787.259.904 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 252.265.172.992 Bytes frei - - End Of File - - C65919E290923531371EA670E4DB8667 nach einem erneuten neustart scheint die datei weg zu sein...ich habe einen quickscan mit Malwarebytes gemacht und er hat diesmal nichts gefunden... |
03.11.2010, 16:40 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Trojaner TR/Agent.843776.22 als treiber dnjfrx.sys getarnt...wie löschen? |
aktiv, antivir, blue, bluescreen, dnjfrx.sys, erhalte, explorer, gelöscht, information, internet, internet explorer, irql, löschen, löschen?, meldung, modus, neu, not, quelldatei, regedit, runter, scan, schonmal, system neu, tr/agent, treiber, trojaner, umbenennen, woche, wochen |