| |
| |||||||
Log-Analyse und Auswertung: Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
20.11.2010, 15:15
| #1 |
| |  Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. Guten Tag, ich habe auch das Problem das sporadisch meine Googlesuchanfragen im Firefox als auch im IE umgeleitet werden. Ich habe schon viel darüber hier gelesen und GMER meldet in Rot eine suspekte Änderung, Mbam kann nur nachdem ich es umbenannt habe gestartet werden, auf die Seite virustotal.com werde ich gar nicht gelassen -Meldung Seite kann nicht angezeigt werden-, am Laptop geht sie aber. Damit bin ich jetzt überfordert und Frage daher hier die Fachleute. Die Logs von OTL , Mbam und GMER im folgenden: Schon mal vielen dank im voraus an die leute die sich damit am WE beschäftigen. leider habe ich zuviele Zeichen hier, deswegen das mbam und OTL log nur im Anhang. ## GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit scan 2010-11-20 14:09:47 Windows 5.1.2600 Service Pack 3 Harddisk1\DR1 -> \Device\Ide\IdePort1 Hitachi_HDP725032GLA360 rev.GM3OA52A Running: q6tttvft.exe; Driver: C:\DOKUME~1\REINHA~1\LOKALE~1\Temp\uftdypow.sys ---- System - GMER 1.0.15 ---- SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateKey [0xF7458E22] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xF7439CDC] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xF7439ECE] SSDT 95BA8C14 ZwCreateThread SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteKey [0xF7459610] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteValueKey [0xF74598C4] SSDT 95BA8C4B ZwLoadDriver SSDT 95BA8C32 ZwLoadKey SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwOpenKey [0xF7457B14] SSDT 95BA8C00 ZwOpenProcess SSDT 95BA8C05 ZwOpenThread SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xF7459D30] SSDT 95BA8C3C ZwReplaceKey SSDT 95BA8C37 ZwRestoreKey SSDT 95BA8C50 ZwSetSystemInformation SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwSetValueKey [0xF74590E2] SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0x9B5AE620] SSDT \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys ZwUnloadKey [0x945C06D0] SSDT 95BA8C0A ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .rsrc C:\WINDOWS\system32\drivers\ftdisk.sys entry point in ".rsrc" section [0xF74D3314] init C:\WINDOWS\system32\drivers\monfilt.sys entry point in "init" section [0xA78D2280] .text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0x947C8400, 0x87EE2, 0xE8000020] .protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0x9486C620] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0x9486C620] .protectÿÿÿÿhardlockunknown last code section [0x9486C400, 0x5126, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0x9486C400, 0x5126, 0xE0000020] ? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtCreateFile 7C91D0AE 1 Byte [FF] .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtCreateFile + 4 7C91D0B2 2 Bytes [74, 71] {JZ 0x73} .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtDeleteValueKey 7C91D26E 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtDeleteValueKey + 4 7C91D272 2 Bytes [7A, 71] {JP 0x73} .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtOpenFile 7C91D59E 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtOpenFile + 4 7C91D5A2 2 Bytes [71, 71] {JNO 0x73} .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtOpenProcess 7C91D5FE 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtOpenProcess + 4 7C91D602 2 Bytes [77, 71] {JA 0x73} .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtSetValueKey 7C91DDCE 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rdpclip.exe[744] ntdll.dll!NtSetValueKey + 4 7C91DDD2 2 Bytes [7D, 71] {JGE 0x73} .text C:\WINDOWS\system32\rdpclip.exe[744] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00A80001 .text C:\WINDOWS\system32\rdpclip.exe[744] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 71840F5A .text C:\WINDOWS\system32\rdpclip.exe[744] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 71810F5A .text C:\WINDOWS\system32\rdpclip.exe[744] USER32.dll!PostMessageW 7E368CCB 6 Bytes JMP 71870F5A .text C:\WINDOWS\system32\rdpclip.exe[744] USER32.dll!SendMessageW 7E37929A 6 Bytes JMP 718D0F5A .text C:\WINDOWS\system32\rdpclip.exe[744] USER32.dll!PostMessageA 7E37AAFD 6 Bytes JMP 718A0F5A .text C:\WINDOWS\system32\rdpclip.exe[744] USER32.dll!SendInput 7E37F140 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rdpclip.exe[744] USER32.dll!SendInput + 4 7E37F144 2 Bytes [92, 71] .text C:\WINDOWS\system32\rdpclip.exe[744] USER32.dll!SendMessageA 7E37F3C2 6 Bytes JMP 71900F5A .text C:\WINDOWS\system32\rdpclip.exe[744] USER32.dll!mouse_event 7E3B673F 6 Bytes JMP 71990F5A .text C:\WINDOWS\system32\rdpclip.exe[744] USER32.dll!keybd_event 7E3B6783 6 Bytes JMP 71960F5A .text C:\WINDOWS\system32\rdpclip.exe[744] WS2_32.dll!WSALookupServiceNextW 71A13181 6 Bytes JMP 719F0F5A .text C:\WINDOWS\system32\rdpclip.exe[744] WS2_32.dll!WSALookupServiceEnd 71A1350E 6 Bytes JMP 719C0F5A .text C:\WINDOWS\system32\rdpclip.exe[744] WS2_32.dll!WSALookupServiceBeginW 71A135EF 6 Bytes JMP 71A60F5A .text C:\WINDOWS\system32\rdpclip.exe[744] WS2_32.dll!connect 71A14A07 6 Bytes JMP 71AF0F5A .text C:\WINDOWS\system32\rdpclip.exe[744] WS2_32.dll!listen 71A18CD3 6 Bytes JMP 71A90F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtCreateFile 7C91D0AE 1 Byte [FF] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtCreateFile + 4 7C91D0B2 2 Bytes [75, 71] {JNZ 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtDeleteValueKey 7C91D26E 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtDeleteValueKey + 4 7C91D272 2 Bytes [7B, 71] {JNP 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtOpenFile 7C91D59E 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtOpenFile + 4 7C91D5A2 2 Bytes [72, 71] {JB 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtOpenProcess 7C91D5FE 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtOpenProcess + 4 7C91D602 2 Bytes [78, 71] {JS 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtSetValueKey 7C91DDCE 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ntdll.dll!NtSetValueKey + 4 7C91DDD2 2 Bytes [7E, 71] {JLE 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00EC0001 .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] USER32.dll!PostMessageW 7E368CCB 6 Bytes JMP 71880F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] USER32.dll!SendMessageW 7E37929A 6 Bytes JMP 718E0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] USER32.dll!PostMessageA 7E37AAFD 6 Bytes JMP 718B0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] USER32.dll!SendInput 7E37F140 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] USER32.dll!SendInput + 4 7E37F144 2 Bytes [93, 71] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] USER32.dll!SendMessageA 7E37F3C2 6 Bytes JMP 71910F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] USER32.dll!mouse_event 7E3B673F 6 Bytes JMP 719A0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] USER32.dll!keybd_event 7E3B6783 6 Bytes JMP 71970F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 71850F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 71820F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] WS2_32.dll!WSALookupServiceNextW 71A13181 6 Bytes JMP 71A30F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] WS2_32.dll!WSALookupServiceEnd 71A1350E 6 Bytes JMP 719D0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] WS2_32.dll!WSALookupServiceBeginW 71A135EF 6 Bytes JMP 71A60F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] WS2_32.dll!connect 71A14A07 6 Bytes JMP 71AF0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSE.exe[1596] WS2_32.dll!listen 71A18CD3 6 Bytes JMP 71A90F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtCreateFile 7C91D0AE 1 Byte [FF] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes [FF, 25, 1E] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtCreateFile + 4 7C91D0B2 2 Bytes [87, 71] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtDeleteValueKey 7C91D26E 3 Bytes [FF, 25, 1E] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtDeleteValueKey + 4 7C91D272 2 Bytes [8D, 71] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtOpenFile 7C91D59E 3 Bytes [FF, 25, 1E] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtOpenFile + 4 7C91D5A2 2 Bytes [84, 71] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtOpenProcess 7C91D5FE 3 Bytes [FF, 25, 1E] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtOpenProcess + 4 7C91D602 2 Bytes [8A, 71] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtSetValueKey 7C91DDCE 3 Bytes [FF, 25, 1E] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ntdll.dll!NtSetValueKey + 4 7C91DDD2 2 Bytes [90, 71] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B30001 .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] USER32.dll!PostMessageW 7E368CCB 6 Bytes JMP 719A0F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] USER32.dll!SendMessageW 7E37929A 6 Bytes JMP 71A00F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] USER32.dll!PostMessageA 7E37AAFD 6 Bytes JMP 719D0F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] USER32.dll!SendInput 7E37F140 3 Bytes [FF, 25, 1E] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] USER32.dll!SendInput + 4 7E37F144 2 Bytes [A5, 71] .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] USER32.dll!SendMessageA 7E37F3C2 6 Bytes JMP 71A30F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] USER32.dll!mouse_event 7E3B673F 6 Bytes JMP 71AC0F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] USER32.dll!keybd_event 7E3B6783 6 Bytes JMP 71A90F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 71970F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 71940F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] WS2_32.dll!WSALookupServiceNextW 01063181 6 Bytes JMP 71820F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] WS2_32.dll!WSALookupServiceEnd 0106350E 6 Bytes JMP 717F0F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] WS2_32.dll!WSALookupServiceBeginW 010635EF 6 Bytes JMP 71760F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] WS2_32.dll!connect 01064A07 6 Bytes JMP 717C0F5A .text c:\windows\twain_32\kodak\kds_i1100\twaingui.exe[2684] WS2_32.dll!listen 01068CD3 6 Bytes JMP 71790F5A .text C:\WINDOWS\system32\logon.scr[3060] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C90001 .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtCreateFile 7C91D0AE 1 Byte [FF] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes [FF, 25, 1E] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtCreateFile + 4 7C91D0B2 2 Bytes [87, 71] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtDeleteValueKey 7C91D26E 3 Bytes [FF, 25, 1E] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtDeleteValueKey + 4 7C91D272 2 Bytes [8D, 71] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtOpenFile 7C91D59E 3 Bytes [FF, 25, 1E] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtOpenFile + 4 7C91D5A2 2 Bytes [84, 71] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtOpenProcess 7C91D5FE 3 Bytes [FF, 25, 1E] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtOpenProcess + 4 7C91D602 2 Bytes [8A, 71] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtSetValueKey 7C91DDCE 3 Bytes [FF, 25, 1E] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ntdll.dll!NtSetValueKey + 4 7C91DDD2 2 Bytes [90, 71] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C20001 .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 71970F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 71940F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] USER32.dll!PostMessageW 7E368CCB 6 Bytes JMP 719A0F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] USER32.dll!SendMessageW 7E37929A 6 Bytes JMP 71A00F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] USER32.dll!PostMessageA 7E37AAFD 6 Bytes JMP 719D0F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] USER32.dll!SendInput 7E37F140 3 Bytes [FF, 25, 1E] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] USER32.dll!SendInput + 4 7E37F144 2 Bytes [A5, 71] .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] USER32.dll!SendMessageA 7E37F3C2 6 Bytes JMP 71A30F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] USER32.dll!mouse_event 7E3B673F 6 Bytes JMP 71AC0F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] USER32.dll!keybd_event 7E3B6783 6 Bytes JMP 71A90F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] WS2_32.dll!WSALookupServiceNextW 010C3181 6 Bytes JMP 71760F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] WS2_32.dll!WSALookupServiceEnd 010C350E 6 Bytes JMP 71820F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] WS2_32.dll!WSALookupServiceBeginW 010C35EF 6 Bytes JMP 71790F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] WS2_32.dll!connect 010C4A07 6 Bytes JMP 717F0F5A .text C:\PROGRA~1\TOBITI~1\DVREMIND.EXE[3164] WS2_32.dll!listen 010C8CD3 6 Bytes JMP 717C0F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtCreateFile 7C91D0AE 1 Byte [FF] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes [FF, 25, 1E] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtCreateFile + 4 7C91D0B2 2 Bytes [87, 71] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtDeleteValueKey 7C91D26E 3 Bytes [FF, 25, 1E] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtDeleteValueKey + 4 7C91D272 2 Bytes [8D, 71] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtOpenFile 7C91D59E 3 Bytes [FF, 25, 1E] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtOpenFile + 4 7C91D5A2 2 Bytes [84, 71] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtOpenProcess 7C91D5FE 3 Bytes [FF, 25, 1E] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtOpenProcess + 4 7C91D602 2 Bytes [8A, 71] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtSetValueKey 7C91DDCE 3 Bytes [FF, 25, 1E] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ntdll.dll!NtSetValueKey + 4 7C91DDD2 2 Bytes [90, 71] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00AA0001 .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] USER32.dll!PostMessageW 7E368CCB 6 Bytes JMP 719A0F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] USER32.dll!SendMessageW 7E37929A 6 Bytes JMP 71A00F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] USER32.dll!PostMessageA 7E37AAFD 6 Bytes JMP 719D0F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] USER32.dll!SendInput 7E37F140 3 Bytes [FF, 25, 1E] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] USER32.dll!SendInput + 4 7E37F144 2 Bytes [A5, 71] .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] USER32.dll!SendMessageA 7E37F3C2 6 Bytes JMP 71A30F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] USER32.dll!mouse_event 7E3B673F 6 Bytes JMP 71AC0F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] USER32.dll!keybd_event 7E3B6783 6 Bytes JMP 71A90F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 71970F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 71940F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] WS2_32.dll!WSALookupServiceNextW 00FD3181 6 Bytes JMP 717F0F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] WS2_32.dll!WSALookupServiceEnd 00FD350E 6 Bytes JMP 717C0F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] WS2_32.dll!WSALookupServiceBeginW 00FD35EF 6 Bytes JMP 71820F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] WS2_32.dll!connect 00FD4A07 6 Bytes JMP 71790F5A .text C:\Dokumente und Einstellungen\Reinhardt\Eigene Dateien\Downloads\q6tttvft.exe[3228] WS2_32.dll!listen 00FD8CD3 6 Bytes JMP 71760F5A .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtCreateFile 7C91D0AE 1 Byte [FF] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtCreateFile + 4 7C91D0B2 2 Bytes [87, 71] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtDeleteValueKey 7C91D26E 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtDeleteValueKey + 4 7C91D272 2 Bytes [8D, 71] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtOpenFile 7C91D59E 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtOpenFile + 4 7C91D5A2 2 Bytes [84, 71] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtOpenProcess 7C91D5FE 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtOpenProcess + 4 7C91D602 2 Bytes [8A, 71] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtSetValueKey 7C91DDCE 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3568] ntdll.dll!NtSetValueKey + 4 7C91DDD2 2 Bytes [90, 71] .text C:\WINDOWS\Explorer.EXE[3568] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B70001 .text C:\WINDOWS\Explorer.EXE[3568] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 71970F5A .text C:\WINDOWS\Explorer.EXE[3568] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 71940F5A .text C:\WINDOWS\Explorer.EXE[3568] USER32.dll!PostMessageW 7E368CCB 6 Bytes JMP 719A0F5A .text C:\WINDOWS\Explorer.EXE[3568] USER32.dll!SendMessageW 7E37929A 6 Bytes JMP 71A00F5A .text C:\WINDOWS\Explorer.EXE[3568] USER32.dll!PostMessageA 7E37AAFD 6 Bytes JMP 719D0F5A .text C:\WINDOWS\Explorer.EXE[3568] USER32.dll!SendInput 7E37F140 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3568] USER32.dll!SendInput + 4 7E37F144 2 Bytes [A5, 71] .text C:\WINDOWS\Explorer.EXE[3568] USER32.dll!SendMessageA 7E37F3C2 6 Bytes JMP 71A30F5A .text C:\WINDOWS\Explorer.EXE[3568] USER32.dll!mouse_event 7E3B673F 6 Bytes JMP 71AC0F5A .text C:\WINDOWS\Explorer.EXE[3568] USER32.dll!keybd_event 7E3B6783 6 Bytes JMP 71A90F5A .text C:\WINDOWS\Explorer.EXE[3568] WS2_32.dll!WSALookupServiceNextW 00FD3181 6 Bytes JMP 71760F5A .text C:\WINDOWS\Explorer.EXE[3568] WS2_32.dll!WSALookupServiceEnd 00FD350E 6 Bytes JMP 71820F5A .text C:\WINDOWS\Explorer.EXE[3568] WS2_32.dll!WSALookupServiceBeginW 00FD35EF 6 Bytes JMP 71790F5A .text C:\WINDOWS\Explorer.EXE[3568] WS2_32.dll!connect 00FD4A07 6 Bytes JMP 717F0F5A .text C:\WINDOWS\Explorer.EXE[3568] WS2_32.dll!listen 00FD8CD3 6 Bytes JMP 717C0F5A .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtCreateFile 7C91D0AE 1 Byte [FF] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtCreateFile + 4 7C91D0B2 2 Bytes [87, 71] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtDeleteValueKey 7C91D26E 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtDeleteValueKey + 4 7C91D272 2 Bytes [8D, 71] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtOpenFile 7C91D59E 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtOpenFile + 4 7C91D5A2 2 Bytes [84, 71] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtOpenProcess 7C91D5FE 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtOpenProcess + 4 7C91D602 2 Bytes [8A, 71] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtSetValueKey 7C91DDCE 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3832] ntdll.dll!NtSetValueKey + 4 7C91DDD2 2 Bytes [90, 71] .text C:\WINDOWS\Explorer.EXE[3832] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B80001 .text C:\WINDOWS\Explorer.EXE[3832] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 71970F5A .text C:\WINDOWS\Explorer.EXE[3832] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 71940F5A .text C:\WINDOWS\Explorer.EXE[3832] USER32.dll!PostMessageW 7E368CCB 6 Bytes JMP 719A0F5A .text C:\WINDOWS\Explorer.EXE[3832] USER32.dll!SendMessageW 7E37929A 6 Bytes JMP 71A00F5A .text C:\WINDOWS\Explorer.EXE[3832] USER32.dll!PostMessageA 7E37AAFD 6 Bytes JMP 719D0F5A .text C:\WINDOWS\Explorer.EXE[3832] USER32.dll!SendInput 7E37F140 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\Explorer.EXE[3832] USER32.dll!SendInput + 4 7E37F144 2 Bytes [A5, 71] .text C:\WINDOWS\Explorer.EXE[3832] USER32.dll!SendMessageA 7E37F3C2 6 Bytes JMP 71A30F5A .text C:\WINDOWS\Explorer.EXE[3832] USER32.dll!mouse_event 7E3B673F 6 Bytes JMP 71AC0F5A .text C:\WINDOWS\Explorer.EXE[3832] USER32.dll!keybd_event 7E3B6783 6 Bytes JMP 71A90F5A .text C:\WINDOWS\Explorer.EXE[3832] WS2_32.dll!WSALookupServiceNextW 00FE3181 6 Bytes JMP 71760F5A .text C:\WINDOWS\Explorer.EXE[3832] WS2_32.dll!WSALookupServiceEnd 00FE350E 6 Bytes JMP 71820F5A .text C:\WINDOWS\Explorer.EXE[3832] WS2_32.dll!WSALookupServiceBeginW 00FE35EF 6 Bytes JMP 71790F5A .text C:\WINDOWS\Explorer.EXE[3832] WS2_32.dll!connect 00FE4A07 6 Bytes JMP 717F0F5A .text C:\WINDOWS\Explorer.EXE[3832] WS2_32.dll!listen 00FE8CD3 6 Bytes JMP 717C0F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtCreateFile 7C91D0AE 1 Byte [FF] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes [FF, 25, 1E] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtCreateFile + 4 7C91D0B2 2 Bytes [87, 71] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtDeleteValueKey 7C91D26E 3 Bytes [FF, 25, 1E] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtDeleteValueKey + 4 7C91D272 2 Bytes [8D, 71] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtOpenFile 7C91D59E 3 Bytes [FF, 25, 1E] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtOpenFile + 4 7C91D5A2 2 Bytes [84, 71] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtOpenProcess 7C91D5FE 3 Bytes [FF, 25, 1E] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtOpenProcess + 4 7C91D602 2 Bytes [8A, 71] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtSetValueKey 7C91DDCE 3 Bytes [FF, 25, 1E] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ntdll.dll!NtSetValueKey + 4 7C91DDD2 2 Bytes [90, 71] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00AF0001 .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] USER32.dll!PostMessageW 7E368CCB 6 Bytes JMP 719A0F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] USER32.dll!SendMessageW 7E37929A 6 Bytes JMP 71A00F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] USER32.dll!PostMessageA 7E37AAFD 6 Bytes JMP 719D0F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] USER32.dll!SendInput 7E37F140 3 Bytes [FF, 25, 1E] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] USER32.dll!SendInput + 4 7E37F144 2 Bytes [A5, 71] .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] USER32.dll!SendMessageA 7E37F3C2 6 Bytes JMP 71A30F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] USER32.dll!mouse_event 7E3B673F 6 Bytes JMP 71AC0F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] USER32.dll!keybd_event 7E3B6783 6 Bytes JMP 71A90F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 71970F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 71940F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] WS2_32.dll!WSALookupServiceNextW 00F93181 6 Bytes JMP 71760F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] WS2_32.dll!WSALookupServiceEnd 00F9350E 6 Bytes JMP 71820F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] WS2_32.dll!WSALookupServiceBeginW 00F935EF 6 Bytes JMP 71790F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] WS2_32.dll!connect 00F94A07 6 Bytes JMP 717F0F5A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[3992] WS2_32.dll!listen 00F98CD3 6 Bytes JMP 717C0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtCreateFile 7C91D0AE 1 Byte [FF] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtCreateFile 7C91D0AE 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtCreateFile + 4 7C91D0B2 2 Bytes [75, 71] {JNZ 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtDeleteValueKey 7C91D26E 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtDeleteValueKey + 4 7C91D272 2 Bytes [7B, 71] {JNP 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtOpenFile 7C91D59E 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtOpenFile + 4 7C91D5A2 2 Bytes [72, 71] {JB 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtOpenProcess 7C91D5FE 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtOpenProcess + 4 7C91D602 2 Bytes [78, 71] {JS 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtSetValueKey 7C91DDCE 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ntdll.dll!NtSetValueKey + 4 7C91DDD2 2 Bytes [7E, 71] {JLE 0x73} .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00EA0001 .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] USER32.dll!PostMessageW 7E368CCB 6 Bytes JMP 71880F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] USER32.dll!SendMessageW 7E37929A 6 Bytes JMP 718E0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] USER32.dll!PostMessageA 7E37AAFD 6 Bytes JMP 718B0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] USER32.dll!SendInput 7E37F140 3 Bytes [FF, 25, 1E] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] USER32.dll!SendInput + 4 7E37F144 2 Bytes [93, 71] .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] USER32.dll!SendMessageA 7E37F3C2 6 Bytes JMP 71910F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] USER32.dll!mouse_event 7E3B673F 6 Bytes JMP 719A0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] USER32.dll!keybd_event 7E3B6783 6 Bytes JMP 71970F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ADVAPI32.dll!CreateServiceA 77E07211 6 Bytes JMP 71850F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] ADVAPI32.dll!CreateServiceW 77E073A9 6 Bytes JMP 71820F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] WS2_32.dll!WSALookupServiceNextW 71A13181 6 Bytes JMP 71A30F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] WS2_32.dll!WSALookupServiceEnd 71A1350E 6 Bytes JMP 719D0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] WS2_32.dll!WSALookupServiceBeginW 71A135EF 6 Bytes JMP 71A60F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] WS2_32.dll!connect 71A14A07 6 Bytes JMP 71AF0F5A .text C:\Programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe[4044] WS2_32.dll!listen 71A18CD3 6 Bytes JMP 71A90F5A ---- Devices - GMER 1.0.15 ---- Device Ntfs.sys (NT File System Driver/Microsoft Corporation) AttachedDevice tdrpm258.sys (Acronis Try&Decide Volume Filter Driver/Acronis) Device Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation) Device rdpdr.sys (Microsoft RDP Device redirector/Microsoft Corporation) Device ftdisk.sys (FT-Datenträgertreiber/Microsoft Corporation) AttachedDevice fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 89B2CAEA Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 89B2CAEA Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP0T0L0-4 89B2CAEA Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP0T1L0-c 89B2CAEA Device \Driver\PCTSDInjDriver32 \Device\PCTSDInjDriver32 PCTSDInj32.sys Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) Device Fs_Rec.SYS (File System Recognizer Driver/Microsoft Corporation) Device \Device\Ide\IdeDeviceP1T0L0-17 -> \??\IDE#DiskHitachi_HDP725032GLA360_________________GM3OA52A#5&95bd10&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\AutoSync\username\LAN-Verbindung Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\AutoSync\username\LAN-Verbindung\{FF5E08AB-1A45-4236-9C3B-3DF308AD5D31} Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\AutoSync\username\LAN-Verbindung\{FF5E08AB-1A45-4236-9C3B-3DF308AD5D31}@ItemsChecked 0 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\AutoSync\username\LAN-Verbindung\{FF5E08AB-1A45-4236-9C3B-3DF308AD5D31}\{FFFFFFFD-9599-46B8-A9B7-E20155FC4EAF} Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\AutoSync\username\LAN-Verbindung\{FF5E08AB-1A45-4236-9C3B-3DF308AD5D31}\{FFFFFFFD-9599-46B8-A9B7-E20155FC4EAF}@CheckState 0 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\AutoSync\username\LAN-Verbindung\{FF5E08AB-1A45-4236-9C3B-3DF308AD5D31}\{FFFFFFFE-9599-46B8-A9B7-E20155FC4EAF} Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\AutoSync\username\LAN-Verbindung\{FF5E08AB-1A45-4236-9C3B-3DF308AD5D31}\{FFFFFFFE-9599-46B8-A9B7-E20155FC4EAF}@CheckState 0 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\AutoSync\username\LAN-Verbindung\{FF5E08AB-1A45-4236-9C3B-3DF308AD5D31}\{FFFFFFFF-9599-46B8-A9B7-E20155FC4EAF} Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Syncmgr\AutoSync\username\LAN-Verbindung\{FF5E08AB-1A45-4236-9C3B-3DF308AD5D31}\{FFFFFFFF-9599-46B8-A9B7-E20155FC4EAF}@CheckState 0 ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk1\DR1 sectors 625142192 (+254): rootkit-like behavior; ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\drivers\ftdisk.sys suspicious modification; TDL3 <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- #################################################### |
|
20.11.2010, 15:52
| #2 |
| /// Malware-holic   | Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. bitte erstelle und poste ein combofix log.
__________________Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ |
|
20.11.2010, 16:16
| #3 |
| | Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. hallo, ich habe tdsskiller von kaspersky laufen lassen. das hat das rootkit wohl gelöscht. Hat aber bei den anderen Problemen nicht geholfen.
__________________Hier das log von combofix: Combofix Logfile: Code:
ATTFilter ComboFix 10-11-19.04 - *** 20.11.2010 16:02:00.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2038.1408 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
AV: Emsisoft Anti-Malware *On-access scanning disabled* (Updated) {0F8591BB-342B-4493-91C3-4E948ED21255}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\__IS6__.tmp
c:\dokumente und einstellungen\Reinhardt\Anwendungsdaten\EurekaLog
c:\windows\system\implode.dll
c:\windows\system32\fldlckun.exe
c:\windows\system32\system32
c:\windows\system32\system32\cis-2.4.dll
c:\windows\system32\system32\issacapi_bs-2.3.dll
c:\windows\system32\system32\issacapi_pe-2.3.dll
c:\windows\system32\system32\issacapi_se-2.3.dll
c:\windows\system32\system32\MACXMLProto.dll
c:\windows\system32\system32\MaDRM.dll
c:\windows\system32\system32\MaJGUILib.dll
c:\windows\system32\system32\MaJUtilLib.dll
c:\windows\system32\system32\MAMACExtract.dll
c:\windows\system32\system32\MASetupCaller.dll
c:\windows\system32\system32\MASetupCleaner.exe
c:\windows\system32\system32\MaXMLProto.dll
c:\windows\system32\system32\MetaStore2.dll
c:\windows\system32\system32\Microsoft.Synchronization.dll
c:\windows\system32\system32\MK_Lyric.dll
c:\windows\system32\system32\MSCLib.dll
c:\windows\system32\system32\MSFLib.dll
c:\windows\system32\system32\MSLUR71.dll
c:\windows\system32\system32\msvcp60.dll
c:\windows\system32\system32\MTTELECHIP.dll
c:\windows\system32\system32\MTXSYNCICON.dll
c:\windows\system32\system32\muzaf1.dll
c:\windows\system32\system32\muzapp.dll
c:\windows\system32\system32\muzapp.exe
c:\windows\system32\system32\muzdecode.ax
c:\windows\system32\system32\muzeffect.ax
c:\windows\system32\system32\muzmp4sp.ax
c:\windows\system32\system32\muzmpgsp.ax
c:\windows\system32\system32\muzoggsp.ax
c:\windows\system32\system32\muzwmts.dll
c:\windows\system32\system32\psapi.dll
c:\windows\system32\system32\Synchronization2.dll
.
((((((((((((((((((((((( Dateien erstellt von 2010-10-20 bis 2010-11-20 ))))))))))))))))))))))))))))))
.
2010-11-20 14:36 . 2010-11-20 14:36 -------- d--h--w- c:\windows\PIF
2010-11-20 12:47 . 2010-11-20 12:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-11-20 12:47 . 2010-11-20 12:47 -------- d-----w- c:\programme\Security Task Manager
2010-11-16 15:28 . 2010-11-16 15:28 -------- d-----w- c:\dokumente und einstellungen\Reinhardt\Lokale Einstellungen\Anwendungsdaten\B-Wise
2010-11-15 13:57 . 2010-11-15 13:57 -------- d-----w- c:\programme\RF
2010-11-15 11:32 . 2010-11-15 11:32 -------- d-----w- c:\programme\FlightScan
2010-11-15 11:16 . 2010-11-15 14:02 -------- d-----w- c:\programme\iColorFolder
2010-11-12 10:36 . 2010-11-12 10:42 -------- d-----w- c:\dokumente und einstellungen\Reinhardt\axa_wohnriester
2010-11-12 10:36 . 2010-11-12 10:41 -------- d-----w- c:\programme\axa_wohnriester
2010-10-31 19:28 . 2010-10-31 19:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
2010-10-31 19:27 . 2010-10-31 19:27 -------- d-----w- c:\programme\Alwil Software
2010-10-27 16:32 . 2010-10-27 16:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2010-10-27 16:32 . 2010-10-27 16:32 -------- d-----w- c:\dokumente und einstellungen\Reinhardt\Anwendungsdaten\PC Suite
2010-10-27 16:32 . 2010-05-01 06:51 36640 ----a-w- c:\windows\system32\FsUsbExDisk.Sys
2010-10-27 16:32 . 2010-05-01 06:51 217088 ----a-w- c:\windows\system32\FsUsbExService.Exe
2010-10-27 16:32 . 2010-05-01 06:51 110592 ----a-w- c:\windows\system32\FsUsbExDevice.Dll
2010-10-27 16:10 . 2010-03-25 11:08 14848 ----a-w- c:\windows\system32\drivers\ss_mdfl.sys
2010-10-27 16:10 . 2010-03-25 11:08 12416 ----a-w- c:\windows\system32\drivers\ss_cmnt.sys
2010-10-27 16:10 . 2010-03-25 11:08 12416 ----a-w- c:\windows\system32\drivers\ss_cm.sys
2010-10-27 16:10 . 2010-03-25 11:08 123776 ----a-w- c:\windows\system32\drivers\ss_mdm.sys
2010-10-27 16:10 . 2010-03-25 11:08 98560 ----a-w- c:\windows\system32\drivers\ss_bus.sys
2010-10-27 16:10 . 2010-03-25 11:08 12288 ----a-w- c:\windows\system32\drivers\ss_whnt.sys
2010-10-27 16:10 . 2010-03-25 11:08 12288 ----a-w- c:\windows\system32\drivers\ss_wh.sys
2010-10-27 16:10 . 2010-10-27 16:10 -------- d-----w- c:\programme\DIFX
2010-10-27 16:10 . 2008-08-26 07:26 18816 ----a-w- c:\windows\system32\drivers\pccsmcfd.sys
2010-10-27 16:07 . 2010-11-05 13:59 -------- d-----w- c:\programme\PC Connectivity Solution
2010-10-27 16:06 . 2010-11-05 13:59 -------- d-----w- c:\dokumente und einstellungen\Reinhardt\Anwendungsdaten\Samsung
2010-10-27 16:05 . 2010-10-27 16:05 -------- d-----w- c:\programme\MarkAny
2010-10-27 16:05 . 2010-11-05 13:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Samsung
2010-10-27 16:01 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll.new
2010-10-27 16:01 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\SET1A9.tmp
2010-10-27 16:01 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\SET1A7.tmp
2010-10-27 16:01 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\SET194.tmp
2010-10-27 16:01 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\SET1A6.tmp
2010-10-27 16:01 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\SET193.tmp
2010-10-27 16:01 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\SET195.tmp
2010-10-27 16:01 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\SET1A8.tmp
2010-10-27 16:01 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\SET18B.tmp
2010-10-27 15:55 . 2010-10-27 15:55 -------- d-----w- C:\Program Files
2010-10-27 15:54 . 2010-10-27 15:54 -------- d-----w- c:\programme\Gemeinsame Dateien\Samsung
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-20 14:41 . 2004-11-11 12:00 126336 ----a-w- c:\windows\system32\drivers\ftdisk.sys
2010-11-20 12:36 . 2008-11-26 14:07 2857 ----a-w- c:\windows\ARJ.PIF
2010-11-17 15:36 . 2007-04-24 15:25 964 ----a-w- c:\windows\DOCS.tmp
2010-11-17 15:36 . 2007-04-24 15:25 1287 ----a-w- c:\windows\CAF.tmp
2010-11-16 18:03 . 2007-04-24 15:25 16318 ----a-w- c:\windows\VFrame32.tmp
2010-11-02 10:53 . 2009-04-02 12:27 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-02 10:53 . 2009-04-02 12:27 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-21 10:53 . 2008-10-31 15:15 44544 ----a-w- c:\windows\system32\hticons.dll
2010-10-13 09:48 . 2010-10-13 09:48 160288 ----a-w- c:\windows\system32\drivers\afcdp.sys
2010-10-13 09:48 . 2010-10-13 09:48 911680 ----a-w- c:\windows\system32\drivers\tdrpm258.sys
2010-10-13 09:48 . 2008-11-04 12:19 581984 ----a-w- c:\windows\system32\drivers\timntr.sys
2010-10-13 09:48 . 2008-11-04 12:19 158272 ----a-w- c:\windows\system32\drivers\snapman.sys
2010-09-18 10:22 . 2004-11-11 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-11-11 12:00 974848 ------w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-11-11 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-11-11 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-09 14:17 . 2004-11-11 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2010-09-09 14:17 . 2004-11-11 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2010-09-09 14:17 . 2004-11-11 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-09-09 14:13 . 2004-11-11 12:00 371200 ----a-w- c:\windows\system32\html.iec
2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts
2010-09-01 11:50 . 2004-11-11 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-11-11 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-11-11 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-11-11 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-11-11 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-11-11 12:00 617472 ----a-w- c:\windows\system32\comctl32.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"Smart Touch i1100"="c:\programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe" [2009-03-10 229376]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
netzlaufwerk.bat [2010-10-19 173]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceStartMenuLogOff"= 1 (0x1)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1417001333-884357618-725345543-1114\Scripts\Logon\0\0]
"Script"=netzlaufwerk.bat
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1417001333-884357618-725345543-1117\Scripts\Logon\0\0]
"Script"=netzlaufwerk.bat
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1417001333-884357618-725345543-1123\Scripts\Logon\0\0]
"Script"=netzlaufwerk.bat
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoStart IR.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk
backup=c:\windows\pss\AutoStart IR.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Jabra Device Service.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Jabra Device Service.lnk
backup=c:\windows\pss\Jabra Device Service.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips SA32XX Device Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Philips SA32XX Device Manager.lnk
backup=c:\windows\pss\Philips SA32XX Device Manager.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Reinhardt^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\Reinhardt\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesTrayAgent]
c:\program files\Samsung\Kies-Samsung 7722\ [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-06-11 21:43 640376 ----a-w- c:\programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2009-11-12 03:42 362032 ----a-w- c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
2008-06-12 01:25 37232 ----a-w- c:\programme\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2008-04-17 12:14 98616 ----a-w- c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-06-01 12:32 94208 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 11:50 1289000 ----a-w- c:\programme\Microsoft ActiveSync\wcescomm.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2008-05-14 10:16 29831168 ----a-r- c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-04-17 08:03 170520 ----a-r- c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-04-17 08:03 150040 ----a-r- c:\windows\system32\igfxtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpAgent]
2007-06-11 10:59 943656 ----a-w- c:\programme\Nuance\OmniPage15\OpAgent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Opware15]
2007-06-11 11:00 79400 ----a-w- c:\programme\Nuance\OmniPage15\OpWare15.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-04-17 08:03 141848 ----a-r- c:\windows\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-04-06 00:27 26102056 ----a-r- c:\programme\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03 210472 ----a-w- c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43 248040 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
2008-04-14 06:52 144384 ----a-w- c:\windows\system32\mobsync.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2009-11-12 03:42 5140960 ----a-w- c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LckFldService"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"gupdate"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CrossLoop\\CrossLoopConnect.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"\\\\Sassenbe-bx5ian\\S\\VHV Hannover\\VPL_APPS\\Versandzentrale\\jre\\bin\\javaw.exe"=
"c:\\Programme\\VIA\\VIAudioi\\HDADeck\\HDeck.exe"=
"\\\\10.0.0.2\\s\\VHV Hannover\\VPL_APPS\\Versandzentrale\\jre\\bin\\javaw.exe"=
"c:\\VHV\\Versandzentrale\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"\\\\10.0.0.2\\daten\\Desktop-Verknüpfung\\gpr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\Reinhardt\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [21.10.2010 12:27 207280]
R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [13.10.2010 10:48 911680]
R1 a2injectiondriver;a2injectiondriver;c:\programme\Emsisoft Anti-Malware\a2dix86.sys [21.10.2010 13:02 41928]
R1 a2util;a-squared Malware-IDS utility driver;c:\programme\Emsisoft Anti-Malware\a2util32.sys [21.10.2010 13:02 11776]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R2 a2AntiMalware;Emsisoft Anti-Malware 5.0 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [21.10.2010 13:02 2806000]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [13.10.2010 10:48 2480048]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [02.04.2009 13:27 339624]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.04.2009 13:27 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [02.04.2009 13:27 403624]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [21.10.2010 12:29 112592]
R2 DavidReplica;DvISE Replica;c:\progra~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE [05.11.2008 18:30 270336]
R2 DavidServiceLayer;DvISE Service Layer;c:\progra~1\TOBITI~1\David\CODE\SL.EXE [05.11.2008 18:30 864256]
R2 MSSQL$IASE2811;SQL Server (IASE2811);c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [10.02.2007 05:29 29178224]
R3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [21.10.2010 13:02 72808]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [13.10.2010 10:48 160288]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [04.11.2008 13:43 238080]
R3 WinRiskXASmClSoftwareUpdate;InterRisk WinRisk Smart-Client Softwareaktualisierung;c:\programme\InterRisk\WinRiskXA\smart\client\bin\BWUpdater.exe [10.12.2009 22:09 24576]
S2 WinRiskXASmClServiceHandler;InterRisk WinRisk Smart-Client Dienststeuerung;c:\programme\InterRisk\WinRiskXA\smart\client\bin\BWServiceHandler.exe [10.12.2009 22:09 90112]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys --> c:\windows\system32\drivers\dgderdrv.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [27.10.2010 17:32 36640]
S3 hcw66xxx;WinTV HVR-900H;c:\windows\system32\drivers\hcw66xxx.sys [15.07.2009 09:23 418304]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\1B6.tmp --> c:\windows\system32\1B6.tmp [?]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [02.07.2009 09:36 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [02.07.2009 09:36 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [02.07.2009 09:36 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [02.07.2009 09:36 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [02.07.2009 09:36 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [02.07.2009 09:36 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [02.07.2009 09:36 115752]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [21.10.2010 12:27 358600]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [11.07.2009 22:41 133104]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - KLMDB
*Deregistered* - klmd25
*Deregistered* - klmdb
*Deregistered* - uftdypow
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
2010-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-11 21:41]
2010-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-11 21:41]
.
.
------- Zusätzlicher Suchlauf -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uStart Page = about:blank
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
Trusted Zone: berliner-volksbank.de\www
Trusted Zone: talkline.de\eservice.cust
TCP: {4D68FA69-3312-45D3-B2FA-7BE36ACD1FD7} = 10.0.0.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Reinhardt\Anwendungsdaten\Mozilla\Firefox\Profiles\alml1fxf.default\
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
SafeBoot-klmdb.sys
MSConfigStartUp-Acrobat Assistant 7 - c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
MSConfigStartUp-AcronisTimounterMonitor - c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-EPGServiceTool - c:\progra~1\WinTV\EPG Services\System\EPGClient.exe
MSConfigStartUp-Google Update - c:\dokumente und einstellungen\Reinhardt\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-12_Symbian_USB_Download_Driver - c:\program files\Samsung\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.exe
AddRemove-15_Symbian_Samsung_PC_DLC_Driver - c:\program files\Samsung\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-Google Chrome - c:\dokumente und einstellungen\Reinhardt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\3.0.195.21\Installer\setup.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-20 16:09
Windows 5.1.2600 Service Pack 3 NTFS
detected NTDLL code modification:
ZwOpenFile
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\1B6.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(964)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\mobilev.acm
- - - - - - - > 'winlogon.exe'(404)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
- - - - - - - > 'lsass.exe'(1020)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2010-11-20 16:11:28
ComboFix-quarantined-files.txt 2010-11-20 15:11
Vor Suchlauf: 19 Verzeichnis(se), 27.683.426.304 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 28.787.802.112 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 55E315048FB45D4BC8EC015F787C2C74
|
|
20.11.2010, 16:24
| #4 |
| /// Malware-holic | Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. wenn du von uns hilfe erwartest, nutze die von uns genannten tools und keine andern. öffne den arbeitsplatz, c: dort rechtsklick auf qoobox, und zu qoobox.rar oder zip hinzufügen, archiv hochladen wenn fertig, sag bescheid http://www.trojaner-board.de/54791-a...ner-board.html
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.11.2010, 16:45
| #5 |
| | Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. Entschuldige, stimmt hab da wohl nicht ganz zu ende gedacht... Beim Packen kommt die Meldung "!Kann den Inhalt von C:\Qoobox\BackEnv\* nicht lesen." (Zugriff verweigert). Der Rest ist 2,93MB groß, hier eine URL hxxp://www.gorgas.info/test/Qoobox.zip Da hab ich sie abgelegt. |
|
20.11.2010, 16:47
| #6 |
| /// Malware-holic | Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. schon wieder nicht zu ende gelesen, denn ich hab dir nen link gegeben, und dort solltest du sie hochladen. aber is ok. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten.
__________________ --> Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. |
Linear-Darstellung
