| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Der TR/Shutdowner.fft unter system32/kb.dll lässt sich, wie bei so vielen, nicht löschen.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.12.2010, 21:03
| #16 |
 |  Der TR/Shutdowner.fft unter system32/kb.dll lässt sich, wie bei so vielen, nicht löschen. Ja, hab ich gemacht, hier der Log: Code:
ATTFilter ComboFix 10-12-25.03 - Max 26.12.2010 20:37:01.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3326.2846 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Max\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-26 bis 2010-12-26 ))))))))))))))))))))))))))))))
.
2010-12-26 20:00 . 2010-12-26 19:57 1036800 ----a-w- c:\windows\explorer.exe
2010-12-26 19:15 . 2010-12-26 19:15 709456 ----a-w- c:\windows\isRS-000.tmp
2010-12-25 22:23 . 2010-12-25 20:58 513024 ----a-w- c:\windows\system32\winlogon.exe
2010-12-25 21:48 . 2010-12-26 17:12 -------- d-----w- c:\dokumente und einstellungen\Administrator
2010-12-24 00:19 . 2010-12-24 00:19 -------- d-----w- C:\_OTL
2010-12-18 18:21 . 2010-12-18 18:22 -------- d-----w- c:\programme\CCleaner
2010-12-17 01:29 . 2010-12-17 01:59 138464 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-12-17 01:29 . 2010-12-17 01:59 111928 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-12-17 01:29 . 2010-12-17 01:29 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-12-17 01:28 . 2010-12-17 01:28 -------- d-----w- c:\dokumente und einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Activision
2010-12-16 22:58 . 2003-03-15 23:15 90112 ----a-w- c:\windows\unvise32.exe
2010-12-16 11:46 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-16 11:46 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-08 21:54 . 2010-12-08 21:54 -------- d-----w- c:\dokumente und einstellungen\Max\Anwendungsdaten\Apple Computer
2010-12-08 09:07 . 2010-12-18 18:17 -------- d-----w- c:\dokumente und einstellungen\Max\Anwendungsdaten\Sowi
2010-12-07 20:24 . 2010-12-07 20:24 45056 ----a-w- c:\windows\system32\UninstallBeetle.exe
2010-12-07 13:37 . 2005-04-03 22:02 753664 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll
2010-12-07 13:37 . 2005-04-03 22:02 69714 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll
2010-12-07 13:37 . 2005-04-03 22:01 274432 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll
2010-12-07 13:37 . 2005-04-03 22:00 184320 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll
2010-12-07 13:37 . 2005-04-03 21:59 5632 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2010-12-07 13:37 . 2010-12-07 13:37 331908 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll
2010-12-07 13:37 . 2010-12-07 13:37 200836 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\dokumente und einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Apple
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\programme\Apple Software Update
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\dokumente und einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-12-03 16:59 . 2010-12-03 16:59 -------- d-----w- C:\found.000
2010-11-29 19:16 . 2010-11-29 19:16 -------- d-----w- c:\programme\Winamp
2010-11-29 19:15 . 2010-12-05 16:28 -------- d-----w- c:\programme\Winamp Remote
2010-11-29 19:05 . 2010-11-29 19:05 -------- d-----w- c:\dokumente und einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Nero
2010-11-29 18:45 . 2010-11-29 18:45 -------- d-----w- c:\dokumente und einstellungen\Max\fontconfig
2010-11-29 18:16 . 2010-11-29 18:17 -------- d-----w- c:\programme\ffmpeg
2010-11-29 18:16 . 2010-11-29 18:33 -------- d-----w- C:\ffmpeg
2010-11-29 17:29 . 2009-12-05 18:42 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-11-29 17:29 . 2010-11-29 17:29 -------- d-----w- c:\programme\ffdshow
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 19:56 . 2010-10-15 18:12 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2010-10-18 17:13 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-10-18 17:13 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-24 19:20 . 2010-10-15 18:12 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2010-10-15 17:06 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-04 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-11-05 10:02 . 2010-11-05 10:02 724992 ----a-w- c:\windows\iun6002.exe
2010-11-03 12:25 . 2004-08-04 12:00 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-04 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2004-08-04 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2004-08-04 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
2010-10-15 18:37 . 2010-10-15 18:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-10-15 18:37 . 2010-10-15 18:37 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-10-15 17:41 . 2010-10-15 17:41 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-30 21:25 . 2010-09-30 21:25 30376 ----a-w- c:\windows\system32\drivers\ElbyCDIO.sys
2010-09-30 11:18 . 2010-09-30 11:18 89256 ----a-w- c:\windows\system32\ElbyCDIO.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe" [2010-10-17 404200]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-15 281768]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"RTHDCPL"="RTHDCPL.EXE" [2010-07-28 19557480]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2009-08-21 98304]
"D-Link D-Link Wireless G DWL-G122_DWA-110"="c:\programme\D-Link\DWL-G122_DWA-110\AirGCFG.exe" [2009-08-14 1708032]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Max^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Max\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Max^Startmenü^Programme^Autostart^pcvvsgrr.exe]
path=c:\dokumente und einstellungen\Max\Startmenü\Programme\Autostart\pcvvsgrr.exe
backup=c:\windows\pss\pcvvsgrr.exeStartup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Max^Startmenü^Programme^Autostart^Xerox-Produktregistrierung.lnk]
path=c:\dokumente und einstellungen\Max\Startmenü\Programme\Autostart\Xerox-Produktregistrierung.lnk
backup=c:\windows\pss\Xerox-Produktregistrierung.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 22:47 31016 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-10-27 12:20 133432 ----a-w- c:\programme\ICQ7.2\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-02-28 16:07 1828136 ----a-w- c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
2010-05-20 13:27 119152 ----a-w- c:\programme\Microsoft LifeCam\LifeExp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-02-18 15:29 2221352 ----a-w- c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-04-28 15:14 570664 ----a-w- c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2010-05-14 08:32 1479680 ----a-w- c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-11-17 09:08 1242448 ----a-w- g:\programme\Steam\Steam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX3000]
2010-05-20 13:27 762736 ----a-w- c:\windows\vVX3000.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebcamMaxAutoRun]
2010-02-20 09:18 6040408 ----a-w- c:\programme\WebcamMax\WebcamMax.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2006-10-24 18:05 204288 ------w- c:\programme\Windows Media Player\wmpnscfg.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeEnC2.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeTray.exe"=
"g:\\Programme\\EA SPORTS\\FUSSBALL MANAGER 11\\Manager11.exe"=
"g:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Nero\\Nero8\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\Nero\\Nero8\\Nero MediaHome\\NMMediaServer.exe"=
"c:\\Programme\\Mozilla Firefox\\plugin-container.exe"=
"g:\\Programme\\Steam\\steamapps\\dj_husnie\\counter-strike source\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"g:\\Programme\\MediaMobsters\\GangLand\\GANGLAND.EXE"=
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15.10.2010 18:41 691696]
R2 ANIWConnService;ANIWConn Service;c:\windows\system32\ANIWConnService.exe [15.10.2010 21:22 151552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2010 19:12 135336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [15.10.2010 19:33 1691480]
.
Inhalt des "geplante Tasks" Ordners
2010-12-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-12-26 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2010-09-28 21:44]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Playlist - c:\programme\PacketVideo\TwonkyBeam\Internet Explorer\TwonkyIEPlugin.dll/314
IE: Free YouTube Download - c:\dokumente und einstellungen\Max\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Max\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Max\Anwendungsdaten\Mozilla\Firefox\Profiles\qencei7k.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-21689000 - c:\dokume~1\Max\LOKALE~1\Temp\21689000.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-26 20:40
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(792)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
- - - - - - - > 'explorer.exe'(2512)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-12-26 20:41:07
ComboFix-quarantined-files.txt 2010-12-26 19:41
Vor Suchlauf: 8 Verzeichnis(se), 64.363.044.864 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 64.358.014.976 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptOut
- - End Of File - - EC761165F827C44833CCB7863BCF66F8
|
|
26.12.2010, 21:40
| #17 |
| | Der TR/Shutdowner.fft unter system32/kb.dll lässt sich, wie bei so vielen, nicht löschen. Und hier ist der neue Malwarebytes-Log
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5399
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
26.12.2010 21:39:28
mbam-log-2010-12-26 (21-39-28).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|G:\|)
Durchsuchte Objekte: 263560
Laufzeit: 38 Minute(n), 39 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\system volume information\_restore{b85b8dcb-2ded-4019-a8f5-ae8ae012548c}\RP1\A0000002.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\_OTL\movedfiles\12242010_011916\c_programme\tmp\34w.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
g:\system volume information\_restore{6bec2a33-919c-454e-b3f1-68f7a7678f68}\RP132\A0080138.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
g:\system volume information\_restore{7c01444e-836b-46da-b0d6-dd71d382f426}\RP256\A0142342.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
|
|
27.12.2010, 09:42
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Der TR/Shutdowner.fft unter system32/kb.dll lässt sich, wie bei so vielen, nicht löschen. Combofix - Scripten
__________________1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Filelook::
c:\windows\explorer.exe
c:\windows\isRS-000.tmp
c:\windows\system32\winlogon.exe
c:\windows\system32\dllcache\ndproxy.sys
c:\windows\system32\dllcache\wab.exe
File::
c:\windows\isRS-000.tmp
Folder::
c:\dokumente und einstellungen\Max\Anwendungsdaten\Sowi
C:\found.000
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ |
|
27.12.2010, 14:37
| #19 |
| | Der TR/Shutdowner.fft unter system32/kb.dll lässt sich, wie bei so vielen, nicht löschen. Okay und hier der neue Log: Code:
ATTFilter ComboFix 10-12-26.01 - Max 27.12.2010 14:07:23.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3326.2869 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Max\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Max\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FILE ::
"c:\windows\isRS-000.tmp"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Max\Anwendungsdaten\Sowi
C:\found.000
c:\found.000\file0000.chk
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-27 bis 2010-12-27 ))))))))))))))))))))))))))))))
.
2010-12-26 20:00 . 2010-12-26 19:57 1036800 ----a-w- c:\windows\explorer.exe
2010-12-26 19:33 . 2010-12-26 19:41 -------- d-----w- C:\cofi
2010-12-25 22:23 . 2010-12-25 20:58 513024 ----a-w- c:\windows\system32\winlogon.exe
2010-12-25 21:48 . 2010-12-26 17:12 -------- d-----w- c:\dokumente und einstellungen\Administrator
2010-12-24 00:19 . 2010-12-24 00:19 -------- d-----w- C:\_OTL
2010-12-18 18:21 . 2010-12-18 18:22 -------- d-----w- c:\programme\CCleaner
2010-12-17 01:29 . 2010-12-17 01:59 138464 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-12-17 01:29 . 2010-12-17 01:59 111928 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-12-17 01:29 . 2010-12-17 01:29 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-12-17 01:28 . 2010-12-17 01:28 -------- d-----w- c:\dokumente und einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Activision
2010-12-16 22:58 . 2003-03-15 23:15 90112 ----a-w- c:\windows\unvise32.exe
2010-12-16 11:46 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-16 11:46 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-08 21:54 . 2010-12-08 21:54 -------- d-----w- c:\dokumente und einstellungen\Max\Anwendungsdaten\Apple Computer
2010-12-07 20:24 . 2010-12-07 20:24 45056 ----a-w- c:\windows\system32\UninstallBeetle.exe
2010-12-07 13:37 . 2005-04-03 22:02 753664 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll
2010-12-07 13:37 . 2005-04-03 22:02 69714 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll
2010-12-07 13:37 . 2005-04-03 22:01 274432 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll
2010-12-07 13:37 . 2005-04-03 22:00 184320 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll
2010-12-07 13:37 . 2005-04-03 21:59 5632 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2010-12-07 13:37 . 2010-12-07 13:37 331908 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll
2010-12-07 13:37 . 2010-12-07 13:37 200836 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\dokumente und einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Apple
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\programme\Apple Software Update
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-12-06 11:42 . 2010-12-06 11:42 -------- d-----w- c:\dokumente und einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-11-29 19:16 . 2010-11-29 19:16 -------- d-----w- c:\programme\Winamp
2010-11-29 19:15 . 2010-12-05 16:28 -------- d-----w- c:\programme\Winamp Remote
2010-11-29 19:05 . 2010-11-29 19:05 -------- d-----w- c:\dokumente und einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Nero
2010-11-29 18:45 . 2010-11-29 18:45 -------- d-----w- c:\dokumente und einstellungen\Max\fontconfig
2010-11-29 18:16 . 2010-11-29 18:17 -------- d-----w- c:\programme\ffmpeg
2010-11-29 18:16 . 2010-11-29 18:33 -------- d-----w- C:\ffmpeg
2010-11-29 17:29 . 2009-12-05 18:42 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-11-29 17:29 . 2010-11-29 17:29 -------- d-----w- c:\programme\ffdshow
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 19:56 . 2010-10-15 18:12 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2010-10-18 17:13 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-10-18 17:13 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-24 19:20 . 2010-10-15 18:12 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2010-10-15 17:06 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-04 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-11-05 10:02 . 2010-11-05 10:02 724992 ----a-w- c:\windows\iun6002.exe
2010-11-03 12:25 . 2004-08-04 12:00 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-04 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2004-08-04 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2004-08-04 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
2010-10-15 18:37 . 2010-10-15 18:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-10-15 18:37 . 2010-10-15 18:37 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-10-15 17:41 . 2010-10-15 17:41 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-30 21:25 . 2010-09-30 21:25 30376 ----a-w- c:\windows\system32\drivers\ElbyCDIO.sys
2010-09-30 11:18 . 2010-09-30 11:18 89256 ----a-w- c:\windows\system32\ElbyCDIO.dll
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
--- c:\windows\explorer.exe ---
Company: Microsoft Corporation
File Description: Windows Explorer
File Version: 6.00.2900.5512 (xpsp.080413-2105)
Product Name: Betriebssystem Microsoft® Windows®
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename: EXPLORER.EXE
File size: 1036800
Created time: 2010-12-26 20:00
Modified time: 2010-12-26 19:57
MD5: 418045A93CD87A352098AB7DABE1B53E
SHA1: 98B9AD668E0727BE888B861F49AAC0F72725E634
--- c:\windows\system32\dllcache\ndproxy.sys ---
Company: Microsoft Corporation
File Description: NDIS Proxy
File Version: 5.1.2600.6048 (xpsp_sp3_gdr.101102-1900)
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: ndproxy.sys
File size: 40960
Created time: 2010-12-16 11:46
Modified time: 2010-11-02 15:17
MD5: 9282BD12DFB069D3889EB3FCC1000A9B
SHA1: F76E50CF3A2A40A2D71437C7662CFF8BE9BE037F
--- c:\windows\system32\dllcache\wab.exe ---
Company: Microsoft Corporation
File Description: Address Book
File Version: 6.00.2900.6040 (xpsp_sp3_gdr.101011-1837)
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: WAB.EXE
File size: 45568
Created time: 2010-12-16 11:46
Modified time: 2010-10-11 14:59
MD5: 29A9A30CA99EA2C28E1153FFB1AF2B57
SHA1: 3C4E4F89C21BFC0DEDD2A9381641600CA85F2FDD
--- c:\windows\system32\winlogon.exe ---
Company: Microsoft Corporation
File Description: Windows NT-Anmeldung
File Version: 5.1.2600.5512 (xpsp.080413-2113)
Product Name: Betriebssystem Microsoft® Windows®
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename: WINLOGON.EXE
File size: 513024
Created time: 2010-12-25 22:23
Modified time: 2010-12-25 20:58
MD5: F09A527B422E25C478E38CAA0E44417A
SHA1: B180BED1BCA42AE4CEF259697C3D21320026752B
((((((((((((((((((((((((((((( SnapShot@2010-12-26_19.40.02 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-27 12:50 . 2010-12-27 12:50 16384 c:\windows\Temp\Perflib_Perfdata_7c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe" [2010-10-17 404200]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-15 281768]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"RTHDCPL"="RTHDCPL.EXE" [2010-07-28 19557480]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2009-08-21 98304]
"D-Link D-Link Wireless G DWL-G122_DWA-110"="c:\programme\D-Link\DWL-G122_DWA-110\AirGCFG.exe" [2009-08-14 1708032]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Max^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Max\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Max^Startmenü^Programme^Autostart^pcvvsgrr.exe]
path=c:\dokumente und einstellungen\Max\Startmenü\Programme\Autostart\pcvvsgrr.exe
backup=c:\windows\pss\pcvvsgrr.exeStartup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Max^Startmenü^Programme^Autostart^Xerox-Produktregistrierung.lnk]
path=c:\dokumente und einstellungen\Max\Startmenü\Programme\Autostart\Xerox-Produktregistrierung.lnk
backup=c:\windows\pss\Xerox-Produktregistrierung.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 22:47 31016 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-10-27 12:20 133432 ----a-w- c:\programme\ICQ7.2\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-02-28 16:07 1828136 ----a-w- c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
2010-05-20 13:27 119152 ----a-w- c:\programme\Microsoft LifeCam\LifeExp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-02-18 15:29 2221352 ----a-w- c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-04-28 15:14 570664 ----a-w- c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2010-05-14 08:32 1479680 ----a-w- c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-11-17 09:08 1242448 ----a-w- g:\programme\Steam\Steam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX3000]
2010-05-20 13:27 762736 ----a-w- c:\windows\vVX3000.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebcamMaxAutoRun]
2010-02-20 09:18 6040408 ----a-w- c:\programme\WebcamMax\WebcamMax.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2006-10-24 18:05 204288 ------w- c:\programme\Windows Media Player\wmpnscfg.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeEnC2.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeTray.exe"=
"g:\\Programme\\EA SPORTS\\FUSSBALL MANAGER 11\\Manager11.exe"=
"g:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Nero\\Nero8\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\Nero\\Nero8\\Nero MediaHome\\NMMediaServer.exe"=
"c:\\Programme\\Mozilla Firefox\\plugin-container.exe"=
"g:\\Programme\\Steam\\steamapps\\dj_husnie\\counter-strike source\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"g:\\Programme\\MediaMobsters\\GangLand\\GANGLAND.EXE"=
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15.10.2010 18:41 691696]
R2 ANIWConnService;ANIWConn Service;c:\windows\system32\ANIWConnService.exe [15.10.2010 21:22 151552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2010 19:12 135336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [15.10.2010 19:33 1691480]
.
Inhalt des "geplante Tasks" Ordners
2010-12-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-12-27 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2010-09-28 21:44]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Playlist - c:\programme\PacketVideo\TwonkyBeam\Internet Explorer\TwonkyIEPlugin.dll/314
IE: Free YouTube Download - c:\dokumente und einstellungen\Max\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Max\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Max\Anwendungsdaten\Mozilla\Firefox\Profiles\qencei7k.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-27 14:11
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(792)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
Zeit der Fertigstellung: 2010-12-27 14:12:51
ComboFix-quarantined-files.txt 2010-12-27 13:12
ComboFix2.txt 2010-12-26 19:41
Vor Suchlauf: 11 Verzeichnis(se), 64.407.834.624 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 64.398.196.736 Bytes frei
- - End Of File - - FAD87BC5716BCDA392C86732C9E79318
|
|
27.12.2010, 14:38
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Der TR/Shutdowner.fft unter system32/kb.dll lässt sich, wie bei so vielen, nicht löschen. Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
01.01.2011, 21:15
| #21 |
| | Der TR/Shutdowner.fft unter system32/kb.dll lässt sich, wie bei so vielen, nicht löschen. Sorry, aber in letzter Zeit hatte ich nicht so die Zeit, das alles zu machen. Hier die Logs: GMER Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-28 18:37:44
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-6 ST380815AS rev.3.AAA
Running: dery6iv9.exe; Driver: C:\DOKUME~1\Max\LOKALE~1\Temp\awaoqaob.sys
---- System - GMER 1.0.15 ----
SSDT BA6B33A6 ZwCreateKey
SSDT BA6B339C ZwCreateThread
SSDT BA6B33AB ZwDeleteKey
SSDT BA6B33B5 ZwDeleteValueKey
SSDT spnr.sys ZwEnumerateKey [0xB9ECDDA4]
SSDT spnr.sys ZwEnumerateValueKey [0xB9ECE132]
SSDT BA6B33BA ZwLoadKey
SSDT spnr.sys ZwOpenKey [0xB9EB50C0]
SSDT BA6B3388 ZwOpenProcess
SSDT BA6B338D ZwOpenThread
SSDT spnr.sys ZwQueryKey [0xB9ECE20A]
SSDT spnr.sys ZwQueryValueKey [0xB9ECE08A]
SSDT BA6B33C4 ZwReplaceKey
SSDT BA6B33BF ZwRestoreKey
SSDT BA6B33B0 ZwSetValueKey
INT 0x62 ? 8A698BF8
INT 0x63 ? 8A4ADF00
INT 0x63 ? 8A4ADF00
INT 0x73 ? 8A698BF8
INT 0x94 ? 8A4ADF00
INT 0xA4 ? 8A4ADF00
Code BA7F9C9C ZwRequestPort
Code BA7F9D3C ZwRequestWaitReplyPort
Code BA7F9BFC ZwTraceEvent
Code BA7F9C9B NtRequestPort
Code BA7F9D3B NtRequestWaitReplyPort
Code BA7F9BFB NtTraceEvent
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!NtTraceEvent 80535128 5 Bytes JMP BA7F9C00
PAGE ntkrnlpa.exe!NtRequestPort 805A2A10 5 Bytes JMP BA7F9CA0
PAGE ntkrnlpa.exe!NtRequestWaitReplyPort 805A2D3C 5 Bytes JMP BA7F9D40
? spnr.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB9158000, 0x273B67, 0xE8000020]
.text USBPORT.SYS!DllUnload B910F8AC 5 Bytes JMP 8A4AD4E0
.text ae1o8a6i.SYS B9082386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text ae1o8a6i.SYS B90823AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text ae1o8a6i.SYS B90823C4 3 Bytes [00, 80, 02]
.text ae1o8a6i.SYS B90823C9 1 Byte [30]
.text ae1o8a6i.SYS B90823C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
.text win32k.sys!EngAcquireSemaphore + 20F0 BF8082F4 5 Bytes JMP BA7F9480
.text win32k.sys!EngFreeUserMem + 5BD2 BF80EE7B 5 Bytes JMP BA7F93E0
.text win32k.sys!BRUSHOBJ_pvAllocRbrush + 322E BF81E78D 5 Bytes JMP BA7F9A20
.text win32k.sys!EngMultiByteToWideChar + 2F32 BF86FF5D 5 Bytes JMP BA7F98E0
.text win32k.sys!EngSetLastError + 7692 BF87E6B3 5 Bytes JMP BA7F95C0
.text win32k.sys!EngCreateBitmap + 202E BF88FBEB 5 Bytes JMP BA7F9700
.text win32k.sys!EngCreateBitmap + 1116E BF89ED2B 5 Bytes JMP BA7F9520
.text win32k.sys!FONTOBJ_pxoGetXform + B03A BF8B91F2 5 Bytes JMP BA7F9660
.text win32k.sys!EngAlphaBlend + 3E8 BF8C3223 5 Bytes JMP BA7F97A0
.text win32k.sys!PATHOBJ_bCloseFigure + 19F1 BF8F98ED 5 Bytes JMP BA7F9980
.text win32k.sys!EngCreateClip + 19B2 BF913826 5 Bytes JMP BA7F9AC0
.text win32k.sys!EngCreateClip + 1F42 BF913DB6 5 Bytes JMP BA7F9B60
.text win32k.sys!EngCreateClip + 2588 BF9143FC 5 Bytes JMP BA7F9840
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EB6042] spnr.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EB613E] spnr.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EB60C0] spnr.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EB6800] spnr.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EB66D6] spnr.sys
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!KfRaiseIrql] 00001CB1
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!HalTranslateBusAddress] 8986C636
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!READ_PORT_USHORT] 001C9686
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\ae1o8a6i.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A6971F8
Device \FileSystem\Fastfat \FatCdrom 893081F8
Device \Driver\usbohci \Device\USBPDO-0 8A47E1F8
Device \Driver\usbohci \Device\USBPDO-1 8A47E1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A70A1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A70A1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A70A1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A70A1F8
Device \Driver\usbohci \Device\USBPDO-2 8A47E1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{4CD21C77-0E87-48C7-B85A-DD4C639A0C6F} 89D201F8
Device \Driver\usbohci \Device\USBPDO-3 8A47E1F8
Device \Driver\usbohci \Device\USBPDO-4 8A47E1F8
Device \Driver\usbehci \Device\USBPDO-5 8A4451F8
Device \Driver\dmio \Device\HarddiskDmVolumes\PhysicalDmVolumes\RawVolume1 8A70A1F8
Device \Driver\dmio \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1 8A70A1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A6991F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A6991F8
Device \Driver\Cdrom \Device\CdRom0 8A4B0500
Device \Driver\atapi \Device\Ide\IdePort0 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-1b [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-e [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-6 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Cdrom \Device\CdRom1 8A4B0500
Device \Driver\sptd \Device\3519612686 spnr.sys
Device \Driver\USBSTOR \Device\00000081 89DE6500
Device \Driver\USBSTOR \Device\00000082 89DE6500
Device \Driver\USBSTOR \Device\00000083 89DE6500
Device \Driver\NetBT \Device\NetBt_Wins_Export 89D201F8
Device \Driver\USBSTOR \Device\00000084 89DE6500
Device \Driver\USBSTOR \Device\00000085 89DE6500
Device \Driver\NetBT \Device\NetbiosSmb 89D201F8
Device \Driver\PCI_PNP6436 \Device\0000004c spnr.sys
Device \Driver\USBSTOR \Device\00000088 89DE6500
Device \Driver\USBSTOR \Device\00000089 89DE6500
Device \Driver\usbohci \Device\USBFDO-0 8A47E1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{10F07D1E-CB8E-45B9-ABEE-33F14E96BEA2} 89D201F8
Device \Driver\usbohci \Device\USBFDO-1 8A47E1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89A5A1F8
Device \Driver\usbohci \Device\USBFDO-2 8A47E1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89A5A1F8
Device \Driver\usbohci \Device\USBFDO-3 8A47E1F8
Device \Driver\usbohci \Device\USBFDO-4 8A47E1F8
Device \Driver\Ftdisk \Device\FtControl 8A6991F8
Device \Driver\usbehci \Device\USBFDO-5 8A4451F8
Device \Driver\ae1o8a6i \Device\Scsi\ae1o8a6i1 8A4371F8
Device \Driver\ae1o8a6i \Device\Scsi\ae1o8a6i1Port4Path0Target0Lun0 8A4371F8
Device \FileSystem\Fastfat \Fat 893081F8
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 89EED500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xA3 0x86 0x48 0xC5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x74 0x5C 0x34 0x87 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xA6 0x8C 0xE6 0xA9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x13 0xC8 0x46 0x1B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x74 0x5C 0x34 0x87 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xED 0x98 0x16 0x13 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xA3 0x86 0x48 0xC5 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x74 0x5C 0x34 0x87 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xA6 0x8C 0xE6 0xA9 ...
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 21:13:25 on 01.01.2011 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Opera Software Opera Internet Browser 11.00 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe "Scheduled Update for Ask Toolbar.job" - ? - C:\Programme\Ask.com\UpdateTask.exe (File found, but it contains no detailed information) [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero8\Nero Toolkit\NeroBurnRights.cpl "NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ANIO Service" (ANIO) - ? - C:\WINDOWS\system32\ANIO.SYS "AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys "at6c6q83" (at6c6q83) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\at6c6q83.sys (Hidden registry entry, rootkit activity | File signed by Microsoft) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\Max\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys "giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys (File found, but it contains no detailed information) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "SbieDrv" (SbieDrv) - "SANDBOXIE L.T.D" - C:\Programme\Sandboxie\SbieDrv.sys "speedfan" (speedfan) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\speedfan.sys "sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys (File is exclusively opened, access blocked) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10k.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll "ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Max\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "PC Suite Tray" - "Nokia" - "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray "SandboxieControl" - "SANDBOXIE L.T.D" - "C:\Programme\Sandboxie\SbieCtrl.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "amd_dc_opt" - "AMD" - C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe "ANIWZCS2Service" - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "D-Link D-Link Wireless G DWL-G122_DWA-110" - "D-Link Corp." - C:\Programme\D-Link\DWL-G122_DWA-110\AirGCFG.exe "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ANIWConn Service" (ANIWConnService) - ? - C:\WINDOWS\system32\ANIWConnService.exe "ANIWZCSd Service" (ANIWZCSdService) - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE "Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe "MSCamSvc" (MSCamSvc) - "Microsoft Corporation" - C:\Programme\Microsoft LifeCam\MSCamS32.exe "Nero BackItUp Scheduler 3" (Nero BackItUp Scheduler 3) - "Nero AG" - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe "NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "PLFlash DeviceIoControl Service" (PLFlash DeviceIoControl Service) - "Prolific Technology Inc." - C:\WINDOWS\system32\IoctlSvc.exe "PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe (File found, but it contains no detailed information) "Sandboxie Service" (SbieSvc) - "SANDBOXIE L.T.D" - C:\Programme\Sandboxie\SbieSvc.exe "ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000005c
Kernel Drivers (total 132):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9EB4000 spjw.sys
0xBA5AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xB9E9C000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB9E6D000 ACPI.sys
0xB9E5C000 pci.sys
0xBA0A8000 ohci1394.sys
0xBA0B8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA0C8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0D8000 MountMgr.sys
0xB9E3D000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9E17000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0E8000 VolSnap.sys
0xB9DFF000 atapi.sys
0xBA0F8000 disk.sys
0xBA108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9DDF000 fltmgr.sys
0xB9DCD000 sr.sys
0xB9DB6000 KSecDD.sys
0xB9D29000 Ntfs.sys
0xB9CFC000 NDIS.sys
0xBA5AE000 speedfan.sys
0xB9CE2000 Mup.sys
0xBA671000 giveio.sys
0xBA138000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xBA2E8000 \SystemRoot\system32\DRIVERS\processr.sys
0xB969B000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xB9687000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB965F000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA3F0000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB963B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA3F8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA318000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB9622000 \SystemRoot\System32\Drivers\AnyDVD.sys
0xBA148000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA158000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB95FF000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA400000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xB95C6000 \SystemRoot\System32\Drivers\at6c6q83.SYS
0xBA168000 \SystemRoot\system32\DRIVERS\serial.sys
0xB9CA2000 \SystemRoot\system32\DRIVERS\serenum.sys
0xBA7B8000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA178000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB9C9E000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB95AF000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA188000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA198000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA468000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB959E000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA1A8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB94DA000 \SystemRoot\System32\drivers\dmboot.sys
0xBA470000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA478000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB94AA000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA1C8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA480000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA488000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA5EA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB944C000 \SystemRoot\system32\DRIVERS\update.sys
0xB9C19000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA1D8000 \SystemRoot\system32\DRIVERS\AmdLLD.sys
0xBA1E8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA218000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5F4000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xACD51000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xACD2D000 \SystemRoot\system32\drivers\portcls.sys
0xBA228000 \SystemRoot\system32\drivers\drmk.sys
0xBA5F8000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA7AA000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5FA000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA4B0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xBA340000 \SystemRoot\System32\drivers\vga.sys
0xBA5FC000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5FE000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA348000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA370000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB9CA6000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xACCAA000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xACC51000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xACC29000 \SystemRoot\system32\DRIVERS\netbt.sys
0xACC03000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xBA248000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xACBE1000 \SystemRoot\System32\drivers\afd.sys
0xBA258000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBA378000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xBA268000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xACBB6000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xACB1E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA278000 \SystemRoot\System32\Drivers\Fips.SYS
0xBA298000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xACA58000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA602000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xBA2F8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBA388000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xACD11000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xBA308000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xAC9E3000 \SystemRoot\system32\DRIVERS\Dr71WU.sys
0xACD05000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xACCF1000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xAC9A3000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA628000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB9CAE000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA3A0000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA72A000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF060000 \SystemRoot\System32\ati2cqag.dll
0xBF108000 \SystemRoot\System32\atikvmag.dll
0xBF1B1000 \SystemRoot\System32\atiok3x2.dll
0xBF216000 \SystemRoot\System32\ati3duag.dll
0xBF9C5000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA9E3D000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA9D04000 \??\C:\Programme\Sandboxie\SbieDrv.sys
0xA9E25000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA9AA7000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA9952000 \SystemRoot\system32\drivers\wdmaud.sys
0xA9B2C000 \SystemRoot\system32\drivers\sysaudio.sys
0xBA390000 \??\C:\WINDOWS\system32\ANIO.SYS
0xA95C9000 \SystemRoot\System32\Drivers\HTTP.sys
0xA9481000 \SystemRoot\system32\DRIVERS\srv.sys
0xA8B52000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \Programme\DAEMON Tools Lite\Engine.dll
Processes (total 42):
0 System Idle Process
4 System
548 C:\WINDOWS\system32\smss.exe
756 csrss.exe
792 C:\WINDOWS\system32\winlogon.exe
836 C:\WINDOWS\system32\services.exe
848 C:\WINDOWS\system32\lsass.exe
1040 C:\WINDOWS\system32\ati2evxx.exe
1052 C:\WINDOWS\system32\svchost.exe
1156 svchost.exe
1196 C:\Programme\Sandboxie\SbieSvc.exe
1216 C:\WINDOWS\system32\svchost.exe
1352 svchost.exe
1396 C:\WINDOWS\system32\ati2evxx.exe
1456 svchost.exe
1716 C:\WINDOWS\system32\spoolsv.exe
1844 C:\Programme\Avira\AntiVir Desktop\sched.exe
1952 svchost.exe
208 C:\WINDOWS\explorer.exe
748 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
812 C:\WINDOWS\RTHDCPL.EXE
900 C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
976 C:\Programme\D-Link\DWL-G122_DWA-110\AirGCFG.exe
1788 C:\Programme\Sandboxie\SbieCtrl.exe
1872 C:\WINDOWS\system32\ctfmon.exe
680 C:\WINDOWS\system32\ANIWConnService.exe
700 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1444 C:\WINDOWS\system32\svchost.exe
1536 C:\Programme\Java\jre6\bin\jqs.exe
1576 C:\Programme\Microsoft LifeCam\MSCamS32.exe
1612 C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
2072 C:\WINDOWS\system32\IoctlSvc.exe
2096 C:\WINDOWS\system32\PnkBstrA.exe
2164 C:\WINDOWS\system32\svchost.exe
2708 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2716 wmpnetwk.exe
2116 C:\Programme\PC Connectivity Solution\ServiceLayer.exe
3472 alg.exe
3488 C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
3640 C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
388 C:\Programme\Opera\opera.exe
3736 C:\Dokumente und Einstellungen\Max\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\G: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: ST380815AS, Rev: 3.AAA
PhysicalDrive1 Model Number: SAMSUNGHD502IJ, Rev: 1AA01113
Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
465 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Done!
|
|
02.01.2011, 11:07
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Der TR/Shutdowner.fft unter system32/kb.dll lässt sich, wie bei so vielen, nicht löschen. Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Der TR/Shutdowner.fft unter system32/kb.dll lässt sich, wie bei so vielen, nicht löschen. |
| erstell, forum, gefunde, gen, hilfe!, individuelle, löschen, lösungen, mehrfach, nicht löschen, porblem, system, tr/shutdowner.fft, zunge |
Linear-Darstellung
