| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
31.01.2011, 16:04
| #1 |
 |  Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Moin aus Hamburg, ich benutze einen Lenovo-Laptop mit XP-Professional. Nachdem ich die externe Festplatte der Tochter meiner Freundin angeschlossen hatte und über Recuva ein Paar Daten rekonstriert hatte (Ergebnis-Speicherung auf meiner Festplatte c), zeigten meine Browser ein seltsames Laufverhalten. Bei Klicks auf Suchergebnisse von Google wurde ich auf komplett andere Seiten weitergeleitet. In den Eigenschaften meiner Internetverbindung waren 2 mir unbekannnte alternative DNS-Server-Adressen eingetragen. Die IP-Adressen gehören zu einem Server in der Ukraine. Ich hab jetzt wie auf diesem Board empfohlen, einen Scan mit Malwarebyte und OTL gemacht. Die entsprechenden LOG-Dateien hab ich angehängt. Die Eigenschaften meiner Internetverbindung hab ich erstmal wieder "DNS-Serveradresse automatisch beziehen" umgestellt, scheint erstmal zu helfen. Ich erhoffe mir jetzt vom TB ein wenig Hilfe bei der Beseitigung der unangemeldeten Gäste auf meinem Rechner, die sollen ihre Party woanders weiterfeiern. Vielen Dank im voraus Bernd |
|
31.01.2011, 22:23
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.
__________________
__________________ |
|
01.02.2011, 00:47
| #3 |
| | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Moin Arne,
__________________nein, leider nicht. Hatte nach dem merkwürdigen Verhalten meiner Browser im Netz gesucht und bin dabei auf euer Forum gestossen. Da hab ich in den grundlegenden Anleitungen gelesen, daß ein Scan mit Malwarebyte und OTL für den Anfang das wichtigste ist. Deshalb hab ich dann die Software installiert. Übrigens hatte die Aktualisierung von Malwarebyte zunächst nicht geklappt, im nachhinein logisch, da die Betreiber des ukrainischen DNS natürlich die entsprechende Domain blockieren.  Daraufhin hab ich die Software auf meinem Zweit-Rechner installiert und aktualisiert. Dann hab ich die aktualisierte rules.ref manuell auf meinen infizierten Rechner übertragen und den Komplettscan gestartet. In einem englischen Forum hab ich den Tip zu diesem Verfahren gefunden. Nachdem ich die Umleitung auf den ukrainischen DNS rausgenommen habe, funktioniert die Aktualisierung über die Software auch auf meinem infizierten Rechner. Übrigens vielen Dank für die schnelle Antwort. Gruss Bernd |
|
01.02.2011, 10:22
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\RunOnceEx: [] File not found
O33 - MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\Shell - "" = AutoRun
O33 - MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\Shell - "" = AutoRun
O33 - MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
01.02.2011, 11:26
| #5 |
| | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Moin Arne, Script ist durchgelaufen und Rechner neu gestartet. Das LOG-File hat sich dann automatisch nach dem Neustart geöffnet. Hier das OTL-LOG: Code:
ATTFilter All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34c89cf2-cb4b-11dd-8782-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff3-c469-11dd-877b-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6352dff6-c469-11dd-877b-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b4-cc16-11dd-8785-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84cc51b7-cc16-11dd-8785-0013e8ed17ed}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{daea7f87-5737-11de-87b8-005056c00008}\ not found.
File E:\LaunchU3.exe -a not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: admin
->Temp folder emptied: 66363852 bytes
->Temporary Internet Files folder emptied: 2118321 bytes
User: Administrator
->Temp folder emptied: 12492206 bytes
->Temporary Internet Files folder emptied: 19881641 bytes
->FireFox cache emptied: 14922628 bytes
User: administrator.***
->Temp folder emptied: 2633472 bytes
->Temporary Internet Files folder emptied: 3452155 bytes
->FireFox cache emptied: 23697620 bytes
->Flash cache emptied: 664 bytes
User: All Users
User: ***
->Temp folder emptied: 785523249 bytes
->Temporary Internet Files folder emptied: 532680811 bytes
->Java cache emptied: 2827245 bytes
->FireFox cache emptied: 65396210 bytes
->Opera cache emptied: 825964 bytes
->Flash cache emptied: 2849053 bytes
User: Default User
->Temp folder emptied: 294912 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 143482 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Repair
->Temp folder emptied: 294912 bytes
->Temporary Internet Files folder emptied: 32902 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1052006164 bytes
RecycleBin emptied: 2496870751 bytes
Total Files Cleaned = 4.850,00 mb
OTL by OldTimer - Version 3.2.20.6 log created on 02012011_110845
Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\IadHide5.dll moved successfully.
Registry entries deleted on Reboot...
Gruss Bernd Geändert von Little_B (01.02.2011 um 11:32 Uhr) Grund: Übersichtlichkeit verbessern |
|
01.02.2011, 13:44
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? |
|
01.02.2011, 17:55
| #7 |
| | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Moin Arne, Combofix ist durchgelaufen, nachdem vorher die Widerherstellungskonsole installiert wurde. Combofix hat 2 Neustarts initiiert. Hier das LOG: [code] Combofix Logfile: Code:
ATTFilter ComboFix 11-01-31.02 - *** 01.02.2011 17:33:19.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.3054.2550 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\etc\lmhosts
c:\windows\system32\Thumbs.db
Infizierte Kopie von c:\windows\system32\drivers\tcpip.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2011-01-01 bis 2011-02-01 ))))))))))))))))))))))))))))))
.
2011-02-01 15:46 . 2011-02-01 15:46 -------- d-----w- c:\programme\CCleaner
2011-02-01 10:08 . 2011-02-01 10:08 -------- d-----w- C:\_OTL
2011-01-31 10:09 . 2011-01-31 10:09 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-01-31 10:09 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-31 10:09 . 2011-01-31 10:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-31 10:09 . 2011-01-31 10:09 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-01-31 10:09 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-01-24 14:18 . 2011-01-24 14:18 -------- d-----w- c:\programme\Recuva
2011-01-19 15:40 . 2011-01-19 15:40 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Philipp Winterberg
2011-01-19 15:40 . 2011-01-19 15:40 -------- d-----w- c:\programme\RarZilla Free Unrar
2011-01-18 11:44 . 2011-01-18 11:44 -------- d-----w- c:\programme\CPUID
2011-01-18 11:44 . 2010-11-09 13:35 21992 ----a-w- c:\windows\system32\drivers\cpuz135_x32.sys
2011-01-03 15:42 . 2011-01-03 15:42 -------- d-----w- c:\dokumente und einstellungen\***\dwhelper
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-01 16:23 . 2007-12-18 13:43 33536 ----a-w- c:\windows\system32\drivers\tvtfilter.sys
2010-12-20 15:38 . 2010-07-01 14:45 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-22 12:52 . 2010-07-01 14:45 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-17 11:04 . 2010-11-17 11:04 1626 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD8.tmp
2010-11-17 11:04 . 2010-11-17 11:04 13827 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD7.tmp
2010-11-17 11:04 . 2010-11-17 11:04 5222 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-09-26 2356088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-17 8433664]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2007-12-18 50688]
Kodak EasyShare Software.lnk - c:\programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2005-3-10 757760]
Kodak software updater.lnk - c:\programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]
NETGEAR ProSafe VPN Client.lnk - c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2007-12-18 57396]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-03-14 21:17 89600 ------w- c:\windows\system32\psqlpwd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 07:37 34344 ------w- c:\programme\Lenovo\HOTKEY\notifyf2.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2006-12-14 02:06 28672 ------w- c:\programme\Lenovo\HOTKEY\tphklock.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\ViewLog.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\Vpn.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\CmonApp.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMGR.EXE"=
"c:\\Programme\\TYPO3_4.2.1\\Apache\\bin\\Apache.exe"=
"c:\\Programme\\VMware\\VMware Player\\vmware-authd.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\\WINDOWS\\system32\\lmabcoms.exe"=
"c:\\Programme\\Lexmark\\Scanback\\scanwiz.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [01.07.2010 12:20 37864]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [02.03.2007 17:47 19760]
R1 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [05.12.2007 16:42 46656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.07.2010 15:45 135336]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [18.01.2011 12:44 21992]
R2 Crypto;Crypto;c:\windows\system32\drivers\Crypto.sys [18.12.2007 16:19 467002]
R2 IPSECDRV;SafeNet IPSec Plugin;c:\windows\system32\drivers\IpSecDrv.sys [18.12.2007 16:19 118840]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [07.02.2007 16:57 35840]
R2 smihlp;SMI Helper Driver (smihlp);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [14.03.2007 22:10 11152]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [05.12.2007 17:17 520192]
R2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe [05.12.2007 16:42 249856]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26.03.2009 21:58 54960]
R3 DniVap;SafeNet WAN Miniport (VA);c:\windows\system32\drivers\vap.sys [18.12.2007 15:56 36188]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [13.09.2006 12:42 30336]
S3 ncp2;ncp2;c:\windows\system32\drivers\ncp2.sys [19.12.2007 16:52 40741]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2011\RpcAgentSrv.exe [17.11.2010 11:57 93848]
.
Inhalt des "geplante Tasks" Ordners
2011-02-01 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 14:54]
2010-10-22 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2007-12-18 00:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://localhost:8503/index.php?id=2
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\programme\VMware\VMware Player\vsocklib.dll
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ynwxly1f.default\
FF - Ext: MeasureIt [de]: {75CEEE46-9B64-46f8-94BF-54012DE155F0} - %profile%\extensions\{75CEEE46-9B64-46f8-94BF-54012DE155F0}
FF - Ext: Move Media Player: moveplayer@movenetworks.com - %profile%\extensions\moveplayer@movenetworks.com
FF - Ext: Web Developer: {c45c406e-ab73-11d8-be73-000a95be3b12} - %profile%\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
FF - Ext: SecurePassword Generator: {EB8ABF49-0290-410f-BDF2-2F13A38112AB} - %profile%\extensions\{EB8ABF49-0290-410f-BDF2-2F13A38112AB}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Latviešu valodas pareizrakstības v�rdnīca: lv-LV@dictionaries.addons.mozilla.org - %profile%\extensions\lv-LV@dictionaries.addons.mozilla.org
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: PDF Download: {37E4D8EA-8BDA-4831-8EA1-89053939A250} - %profile%\extensions\{37E4D8EA-8BDA-4831-8EA1-89053939A250}
FF - Ext: MailCatch: Temporary Emails: firefox@mailcatch.com - %profile%\extensions\firefox@mailcatch.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
Notify-ACNotify - ACNotify.dll
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-01 17:45
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1504)
c:\windows\system32\vrlogon.dll
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
c:\programme\ThinkVantage Fingerprint Software\pscssint.dll
c:\windows\system32\netprovcredman.dll
- - - - - - - > 'explorer.exe'(2708)
c:\dokume~1\BKUSCH~1\LOKALE~1\Temp\IadHide5.dll
c:\windows\system32\btmmhook.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
c:\windows\system32\brss01a.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\windows\system32\LMabcoms.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\System32\TPHDEXLG.exe
c:\programme\Lenovo\Client Security Solution\tvttcsd.exe
c:\programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\vmnat.exe
c:\programme\lenovo\system update\suservice.exe
c:\programme\VMware\VMware Player\vmware-authd.exe
c:\programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
c:\windows\system32\vmnetdhcp.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-01 17:52:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-02-01 16:51
Vor Suchlauf: 5.911.961.600 Bytes frei
Nach Suchlauf: 5.790.801.920 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - F1BAC0920C4A54136B034606A44A6520
Gruss Bernd |
|
01.02.2011, 19:09
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD8.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD7.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.02.2011, 19:43
| #9 |
| | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Moin Arne, Skript ist durchgelaufen, Rechner wurde von Combofix aber nicht neu gestartet. Am Ende war nur das fertige LOG offen. Ich hab jetzt den Rechner manuell neu gestartet. Hier das LOG Combofix Logfile: Code:
ATTFilter ComboFix 11-01-31.02 - *** 01.02.2011 19:27:13.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.3054.2521 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
FILE ::
"c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp"
"c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD7.tmp"
"c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD8.tmp"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD7.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD8.tmp
c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll
c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll
c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll
c:\programme\Internet Explorer\Plugins\npqtplugin5.dll
c:\programme\Internet Explorer\Plugins\npqtplugin6.dll
c:\programme\Mozilla Firefox\Plugins\npqtplugin2.dll
c:\programme\Mozilla Firefox\plugins\npqtplugin3.dll
c:\programme\Mozilla Firefox\plugins\npqtplugin4.dll
c:\programme\Mozilla Firefox\plugins\npqtplugin5.dll
c:\programme\Mozilla Firefox\plugins\npqtplugin6.dll
c:\programme\QuickTime\Plugins\npqtplugin2.dll
c:\programme\QuickTime\Plugins\npqtplugin3.dll
c:\programme\QuickTime\Plugins\npqtplugin4.dll
c:\programme\QuickTime\Plugins\npqtplugin5.dll
c:\programme\QuickTime\Plugins\npqtplugin6.dll
.
((((((((((((((((((((((( Dateien erstellt von 2011-01-01 bis 2011-02-01 ))))))))))))))))))))))))))))))
.
2011-02-01 15:46 . 2011-02-01 15:46 -------- d-----w- c:\programme\CCleaner
2011-02-01 10:08 . 2011-02-01 10:08 -------- d-----w- C:\_OTL
2011-01-31 10:09 . 2011-01-31 10:09 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-01-31 10:09 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-31 10:09 . 2011-01-31 10:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-31 10:09 . 2011-01-31 10:09 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-01-31 10:09 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-01-24 14:18 . 2011-01-24 14:18 -------- d-----w- c:\programme\Recuva
2011-01-19 15:40 . 2011-01-19 15:40 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Philipp Winterberg
2011-01-19 15:40 . 2011-01-19 15:40 -------- d-----w- c:\programme\RarZilla Free Unrar
2011-01-18 11:44 . 2011-01-18 11:44 -------- d-----w- c:\programme\CPUID
2011-01-18 11:44 . 2010-11-09 13:35 21992 ----a-w- c:\windows\system32\drivers\cpuz135_x32.sys
2011-01-03 15:42 . 2011-01-03 15:42 -------- d-----w- c:\dokumente und einstellungen\***\dwhelper
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-01 16:23 . 2007-12-18 13:43 33536 ----a-w- c:\windows\system32\drivers\tvtfilter.sys
2010-12-20 15:38 . 2010-07-01 14:45 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-22 12:52 . 2010-07-01 14:45 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-09-26 2356088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-17 8433664]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2007-12-18 50688]
Kodak EasyShare Software.lnk - c:\programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2005-3-10 757760]
Kodak software updater.lnk - c:\programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]
NETGEAR ProSafe VPN Client.lnk - c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2007-12-18 57396]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-03-14 21:17 89600 ------w- c:\windows\system32\psqlpwd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 07:37 34344 ------w- c:\programme\Lenovo\HOTKEY\notifyf2.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2006-12-14 02:06 28672 ------w- c:\programme\Lenovo\HOTKEY\tphklock.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\ViewLog.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\Vpn.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\CmonApp.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMGR.EXE"=
"c:\\Programme\\TYPO3_4.2.1\\Apache\\bin\\Apache.exe"=
"c:\\Programme\\VMware\\VMware Player\\vmware-authd.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\\WINDOWS\\system32\\lmabcoms.exe"=
"c:\\Programme\\Lexmark\\Scanback\\scanwiz.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [01.07.2010 12:20 37864]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [02.03.2007 17:47 19760]
R1 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [05.12.2007 16:42 46656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.07.2010 15:45 135336]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [18.01.2011 12:44 21992]
R2 Crypto;Crypto;c:\windows\system32\drivers\Crypto.sys [18.12.2007 16:19 467002]
R2 IPSECDRV;SafeNet IPSec Plugin;c:\windows\system32\drivers\IpSecDrv.sys [18.12.2007 16:19 118840]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [07.02.2007 16:57 35840]
R2 smihlp;SMI Helper Driver (smihlp);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [14.03.2007 22:10 11152]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [05.12.2007 17:17 520192]
R2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe [05.12.2007 16:42 249856]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26.03.2009 21:58 54960]
R3 DniVap;SafeNet WAN Miniport (VA);c:\windows\system32\drivers\vap.sys [18.12.2007 15:56 36188]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [13.09.2006 12:42 30336]
S3 ncp2;ncp2;c:\windows\system32\drivers\ncp2.sys [19.12.2007 16:52 40741]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2011\RpcAgentSrv.exe [17.11.2010 11:57 93848]
.
Inhalt des "geplante Tasks" Ordners
2011-02-01 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 14:54]
2010-10-22 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2007-12-18 00:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://localhost:8503/index.php?id=2
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\programme\VMware\VMware Player\vsocklib.dll
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ynwxly1f.default\
FF - Ext: MeasureIt [de]: {75CEEE46-9B64-46f8-94BF-54012DE155F0} - %profile%\extensions\{75CEEE46-9B64-46f8-94BF-54012DE155F0}
FF - Ext: Move Media Player: moveplayer@movenetworks.com - %profile%\extensions\moveplayer@movenetworks.com
FF - Ext: Web Developer: {c45c406e-ab73-11d8-be73-000a95be3b12} - %profile%\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
FF - Ext: SecurePassword Generator: {EB8ABF49-0290-410f-BDF2-2F13A38112AB} - %profile%\extensions\{EB8ABF49-0290-410f-BDF2-2F13A38112AB}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Latviešu valodas pareizrakstības v�rdnīca: lv-LV@dictionaries.addons.mozilla.org - %profile%\extensions\lv-LV@dictionaries.addons.mozilla.org
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: PDF Download: {37E4D8EA-8BDA-4831-8EA1-89053939A250} - %profile%\extensions\{37E4D8EA-8BDA-4831-8EA1-89053939A250}
FF - Ext: MailCatch: Temporary Emails: firefox@mailcatch.com - %profile%\extensions\firefox@mailcatch.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-01 19:34
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1504)
c:\windows\system32\vrlogon.dll
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
c:\programme\ThinkVantage Fingerprint Software\pscssint.dll
c:\windows\system32\netprovcredman.dll
.
Zeit der Fertigstellung: 2011-02-01 19:35:00
ComboFix-quarantined-files.txt 2011-02-01 18:34
ComboFix2.txt 2011-02-01 16:52
Vor Suchlauf: 5.830.434.816 Bytes frei
Nach Suchlauf: 5.812.867.072 Bytes frei
- - End Of File - - D133F1EEBDBF033830D21C266E1E08F1
Gruss Bernd |
|
01.02.2011, 20:20
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.02.2011, 13:47
| #11 |
| | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Moin Arne, hat ein wenig gedauert. GMER ist mir zweimal abgestürzt. Beim zweiten mal (nach ca. 4,5 Std laufzeit) hab ich danebengesessen, hat mein Windows mit Bluescreen-Meldung runtergerisssen. Danach hab ich mit dem Programm wie von dir vorgeschlagen sein gelassen. Hier das Log von OSAM (wie gewünscht ohne Online-Scan) OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 13:39:40 on 02.02.2011 OS: Windows XP Professional Service Pack 2 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.16574 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "Auf Updates für Windows Live Toolbar prüfen.job" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE "PMTask.job" - ? - C:\PROGRA~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE (File found, but it contains no detailed information) [Control Panel Objects] -----( %SystemRoot%\system32 )----- "btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl "ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl "jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl "nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl "QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl "TpShCPL.cpl" - "Lenovo." - C:\WINDOWS\system32\TpShCPL.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "ProtectorSuiteInfoPanel" - "UPEK Inc." - C:\Programme\ThinkVantage Fingerprint Software\infopnl.cpl "SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl "Windows Media Connect" - "Microsoft Corporation" - C:\Programme\Windows Media Connect 2\wmccpl.dll [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ANC" (ANC) - "IBM Corp." - C:\WINDOWS\System32\drivers\ANC.SYS "APS Digitizer Activity Monitor" (TPDIGIMN) - "Lenovo." - C:\WINDOWS\System32\DRIVERS\ApsHM86.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Conexant Setup API" (UIUSys) - ? - C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS (File not found) "cpuz135" (cpuz135) - "CPUID" - C:\WINDOWS\system32\drivers\cpuz135_x32.sys "Crypto" (Crypto) - "SafeNet" - C:\WINDOWS\system32\drivers\Crypto.sys "DLABOIOM" (DLABOIOM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLABOIOM.SYS "DLACDBHM" (DLACDBHM) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DLACDBHM.SYS "DLADResN" (DLADResN) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLADResN.SYS "DLAIFS_M" (DLAIFS_M) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAIFS_M.SYS "DLAOPIOM" (DLAOPIOM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAOPIOM.SYS "DLAPoolM" (DLAPoolM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAPoolM.SYS "DLARTL_N" (DLARTL_N) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DLARTL_N.SYS "DLAUDFAM" (DLAUDFAM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAUDFAM.SYS "DLAUDF_M" (DLAUDF_M) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAUDF_M.SYS "DRVMCDB" (DRVMCDB) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVMCDB.SYS "DRVNDDM" (DRVNDDM) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVNDDM.SYS "hotcore3" (hotcore3) - "Paragon Software Group" - C:\WINDOWS\System32\drivers\hotcore3.sys "IBMTPCHK" (IBMTPCHK) - ? - C:\WINDOWS\system32\Drivers\IBMBLDID.sys (File found, but it contains no detailed information) "IVI ASPI Shell" (Iviaspi) - "InterVideo, Inc." - C:\WINDOWS\System32\drivers\iviaspi.sys "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "NetGroup Packet Filter Driver (devolo)" (NPF_devolo) - "CACE Technologies" - C:\WINDOWS\system32\drivers\npf_devolo.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "pmem" (pmem) - "Microsoft Corporation" - C:\WINDOWS\System32\drivers\pmemnt.sys "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "SafeNet IPSec Plugin" (IPSECDRV) - "SafeNet" - C:\WINDOWS\system32\Drivers\IPSECDRV.sys "SafeNet WAN Miniport (VA)" (DniVap) - "Deterministic Networks Inc." - C:\WINDOWS\System32\DRIVERS\vap.sys "SANDRA" (SANDRA) - "SiSoftware" - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2011\WNt500x86\Sandra.sys "Shockprf" (Shockprf) - "Lenovo." - C:\WINDOWS\System32\DRIVERS\Apsx86.sys "SMI Helper Driver (smihlp)" (smihlp) - "UPEK Inc." - C:\Programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys (File found, but it contains no detailed information) "TPPWRIF" (TPPWRIF) - ? - C:\WINDOWS\System32\drivers\Tppwrif.sys (File found, but it contains no detailed information) "TSMAPIP" (TSMAPIP) - ? - C:\WINDOWS\System32\drivers\TSMAPIP.SYS (File found, but it contains no detailed information) "TVT Packet Filter Service" (TVTPktFilter) - ? - C:\WINDOWS\System32\DRIVERS\tvtpktfilter.sys (File not found) "tvtumon" (tvtumon) - "Lenovo" - C:\WINDOWS\System32\DRIVERS\tvtumon.sys "UIM Drive Backup Image Plugin" (Uim_IM) - "Paragon" - C:\WINDOWS\System32\Drivers\Uim_IM.sys "Universal Image Mounter Controller" (UimBus) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\DRIVERS\UimBus.sys "VMware Bridge Protocol" (VMnetBridge) - "VMware, Inc." - C:\WINDOWS\System32\DRIVERS\vmnetbridge.sys "VMware hcmon" (hcmon) - "VMware, Inc." - C:\WINDOWS\system32\drivers\hcmon.sys "VMware kbd" (vmkbd) - "VMware, Inc." - C:\WINDOWS\system32\drivers\VMkbd.sys "VMware Network Application Interface" (VMnetuserif) - "VMware, Inc." - C:\WINDOWS\system32\drivers\vmnetuserif.sys "VMware vmci" (vmci) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\vmci.sys "VMware VMparport" (VMparport) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\VMparport.sys "VMware vmx86" (vmx86) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\vmx86.sys "Vstor2 WS60 Virtual Storage Driver" (vstor2-ws60) - "VMware, Inc." - C:\Programme\VMware\VMware Player\vstor2-ws60.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {8EF5DC20-419C-4E43-A088-DE5B5625CA47} "CDR Column Provider" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\btneighborhood.dll {DE902992-61FC-4A01-8091-53E1895C9775} "CDR Icon Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {F9633464-9E18-4C06-9D3A-E131C036A9FA} "CDR Property Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {7DDDBFE0-09C4-4680-9E13-8CE7D00EDE57} "CDR Property Sheet" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {1462EBAA-96E7-4D93-9A66-0E4068DE4FCF} "CDR Thumbnail provider" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Visio11\VISSHE.DLL {DE902994-61FC-4A01-8091-53E1895C9775} "CMX Icon Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {7DDDBFE2-09C4-4680-9E13-8CE7D00EDE57} "CMX Property Sheet" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {1462EBAC-96E7-4D93-9A66-0E4068DE4FCF} "CMX Thumbnail provider" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {DE902993-61FC-4A01-8091-53E1895C9775} "CPT Icon Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {F9633465-9E18-4C06-9D3A-E131C036A9FA} "CPT Property Handler" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {7DDDBFE1-09C4-4680-9E13-8CE7D00EDE57} "CPT Property Sheet" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {1462EBAB-96E7-4D93-9A66-0E4068DE4FCF} "CPT Thumbnail provider" - "Corel Corporation" - c:\Programme\Gemeinsame Dateien\Corel\Shared\Shell Extension\ShellXP.dll {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLASHX_W.DLL {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Visio11\VISSHE.DLL {acb4a560-3606-11d3-aef4-00104bd0f92d} "KodakShellExtension" - "Eastman Kodak Company" - C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobile Device" - "Microsoft Corporation" - C:\PROGRA~1\MI3AA1~1\Wcesview.dll {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "Windows Live Toolbar" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\msntb.dll -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {0FE81B52-73FA-425F-8F06-3F32451AC73F} "ClsidExtension" - "Lenovo Group Limited" - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MI3AA1~1\INetRepl.dll {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MI3AA1~1\INetRepl.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll <binary data> "Windows Live Toolbar" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\msntb.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {F040E541-A427-4CF7-85D8-75E3E0F476C5} "CPwmIEBrowserHelper Object" - "Lenovo Group Limited" - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll {5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLASHX_W.DLL {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} "Windows Live Toolbar Helper" - "Microsoft Corporation" - C:\Programme\Windows Live Toolbar\msntb.dll {601ED020-FB6C-11D3-87D8-0050DA59922B} "WsftpBrowserHelper Class" - "Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421" - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "Digital Line Detect.lnk" - "Avanquest Software " - C:\Programme\Digital Line Detect\DLG.exe (Shortcut exists | File exists) "Kodak EasyShare Software.lnk" - "Eastman Kodak Company" - C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe (Shortcut exists | File exists) "Kodak software updater.lnk" - ? - C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe (Shortcut exists | File found, but it contains no detailed information | File exists) "NETGEAR ProSafe VPN Client.lnk" - "SafeNet" - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe (Shortcut exists | File exists) "BTTray.lnk" - "Broadcom Corporation." - C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "AdobeUpdater" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" "H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\wcescomm.exe" [Network Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )----- "IntelNetProvCredMan" - "Intel Corporation" - c:\windows\system32\netprovcredman.dll [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll "Lexmark Enhanced TCP/IP Port" - " " - C:\WINDOWS\system32\lmablmpm.dll "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll "NETGEAR FR Print Server" - ? - C:\WINDOWS\system32\NgSharedPort.dll (File found, but it contains no detailed information) "PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Ac Profile Manager Service" (AcPrfMgrSvc) - "Lenovo " - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe "Access Connections Main Service" (AcSvc) - "Lenovo " - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe "BrSplService" (Brother XP spl Service) - "brother Industries Ltd" - C:\WINDOWS\system32\brsvc01a.exe "Diskeeper" (Diskeeper) - "Diskeeper Corporation" - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe "Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe "Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe "Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe "IPS-Basisservice" (IPSSVC) - "Lenovo Group Limited" - C:\WINDOWS\system32\IPSSVC.EXE "IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe "lmab_device" (lmab_device) - " " - C:\WINDOWS\system32\LMabcoms.exe "Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "SafeNet IKE Service" (IREIKE) - "SafeNet" - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe "SafeNet Monitor Service" (IPSECMON) - "SafeNet" - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe "SiSoftware Deployment Agent Service" (SandraAgentSrv) - "SiSoftware" - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2011\RpcAgentSrv.exe "System Update" (SUService) - "Lenovo Group Limited" - c:\programme\lenovo\system update\suservice.exe "ThinkPad HDD APS Logging Service" (TPHDEXLGSVC) - "Lenovo." - C:\WINDOWS\System32\TPHDEXLG.exe "ThinkVantage Registry Monitor Service" (ThinkVantage Registry Monitor Service) - "Lenovo Group Limited" - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe "TSS Core Service" (TSSCoreService) - "IBM" - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe "TVT Backup Protection Service" (TVT Backup Protection Service) - ? - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe "TVT Backup Service" (TVT Backup Service) - "Lenovo Group Limited" - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe "TVT Scheduler" (TVT Scheduler) - "Lenovo Group Limited" - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe "TVT Windows Update Monitor" (TVT_UpdateMonitor) - "Lenovo Group Limited" - C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe "tvtnetwk" (tvtnetwk) - ? - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe (File found, but it contains no detailed information) "VMware Agent Service" (ufad-ws60) - "VMware, Inc." - C:\Programme\VMware\VMware Player\vmware-ufad.exe "VMware Authorization Service" (VMAuthdService) - "VMware, Inc." - C:\Programme\VMware\VMware Player\vmware-authd.exe "VMware DHCP Service" (VMnetDHCP) - "VMware, Inc." - C:\WINDOWS\system32\vmnetdhcp.exe "VMware NAT Service" (VMware NAT Service) - "VMware, Inc." - C:\WINDOWS\system32\vmnat.exe "Windows Media Connect-Dienst" (WMConnectCDS) - "Microsoft Corporation" - C:\Programme\Windows Media Connect 2\wmccds.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )----- "GinaDLL" - "UPEK Inc." - C:\WINDOWS\system32\vrlogon.dll -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "psfus" - "UPEK Inc." - C:\WINDOWS\system32\psqlpwd.dll "tpfnf2" - ? - C:\Programme\Lenovo\HOTKEY\notifyf2.dll (File found, but it contains no detailed information) "tphotkey" - ? - C:\Programme\Lenovo\HOTKEY\tphklock.dll (File found, but it contains no detailed information) [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )----- "VMCI sockets DGRAM" - "VMware, Inc." - C:\Programme\VMware\VMware Player\vsocklib.dll "VMCI sockets STREAM" - "VMware, Inc." - C:\Programme\VMware\VMware Player\vsocklib.dll ===[ Logfile end ]=========================================[ Logfile end ]=== Danach hab ich dann MBRCheck laufenlassen. Da hats ne Fehlermeldung am Ende gegeben. Sieht man auch im Log, ich hab mit der Eingabe "N" (keine weiteren Optionen) abgeschlossen. Hier das LOG von MBRCheck Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000000c
Kernel Drivers (total 183):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB9F49000 pcmcia.sys
0xBA0B8000 MountMgr.sys
0xB9F2A000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F04000 dmio.sys
0xBA330000 PartMgr.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA4C8000 hotcore3.sys
0xBA0C8000 VolSnap.sys
0xB9EEC000 atapi.sys
0xB9E2E000 iaStor.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9E0E000 fltMgr.sys
0xB9DFC000 sr.sys
0xB9DE6000 DRVMCDB.SYS
0xBA0F8000 PxHelp20.sys
0xB9DCF000 KSecDD.sys
0xB9D42000 Ntfs.sys
0xB9D15000 NDIS.sys
0xB9CF9000 Apsx86.sys
0xBA338000 ApsHM86.sys
0xBA108000 ohci1394.sys
0xBA118000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xB9CDE000 Mup.sys
0xBA138000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xBA2E8000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB7E34000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB7E20000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB7DDF000 \SystemRoot\system32\DRIVERS\e1e5132.sys
0xBA478000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB7DBB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA480000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB7D96000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB7B73000 \SystemRoot\system32\DRIVERS\NETw4x32.sys
0xBA2F8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA488000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA490000 \??\C:\WINDOWS\system32\drivers\VMkbd.sys
0xB7B47000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBA61A000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA498000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB7B36000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA5A0000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB7B22000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA4A0000 \SystemRoot\system32\DRIVERS\atmeltpm.sys
0xBA5A4000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xB9CBA000 \SystemRoot\system32\DRIVERS\ibmpmdrv.sys
0xBA1E8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA4A8000 \SystemRoot\system32\drivers\iviaspi.sys
0xBA61C000 \SystemRoot\System32\Drivers\DLACDBHM.SYS
0xBA308000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA318000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB7AFF000 \SystemRoot\system32\DRIVERS\ks.sys
0xB9CAE000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB7A2F000 \SystemRoot\system32\DRIVERS\btkrnl.sys
0xB7A15000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xBA4B0000 \SystemRoot\system32\DRIVERS\vap.sys
0xBA718000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA148000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB9CA6000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB79FE000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA158000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA168000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA348000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB79ED000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA178000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA358000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA360000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB79BC000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA188000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA3B8000 \SystemRoot\system32\DRIVERS\psadd.sys
0xBA3C0000 \SystemRoot\system32\DRIVERS\Tvti2c.sys
0xBA622000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB69A8000 \SystemRoot\system32\DRIVERS\update.sys
0xB865F000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA3C8000 \SystemRoot\system32\DRIVERS\UimBus.sys
0xB6962000 \SystemRoot\System32\Drivers\Uim_IM.sys
0xBA624000 \SystemRoot\System32\Drivers\UimFIO.SYS
0xB865B000 \SystemRoot\system32\DRIVERS\vmnetadapter.sys
0xB8657000 \SystemRoot\system32\DRIVERS\VMNET.SYS
0xB8452000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA218000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB58F4000 \SystemRoot\system32\drivers\ADIHdAud.sys
0xB58D2000 \SystemRoot\system32\drivers\portcls.sys
0xB946F000 \SystemRoot\system32\drivers\drmk.sys
0xB58BA000 \SystemRoot\system32\drivers\AEAudio.sys
0xB5886000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xB5794000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xB56E1000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xBA3D0000 \SystemRoot\System32\Drivers\Modem.SYS
0xBA5E2000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xAC976000 \SystemRoot\system32\DRIVERS\tvtumon.sys
0xBA5DE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA6D4000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5E0000 \SystemRoot\System32\Drivers\Beep.SYS
0xB0B5A000 \SystemRoot\System32\Drivers\DLARTL_N.SYS
0xAC8FE000 \SystemRoot\System32\drivers\vga.sys
0xBA5E4000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5E6000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xAC8F6000 \SystemRoot\System32\Drivers\Msfs.SYS
0xAC8EE000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB33E1000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAACBF000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAAC66000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAAC16000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAABF5000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB33CD000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xAABD3000 \SystemRoot\System32\drivers\afd.sys
0xAC966000 \SystemRoot\system32\DRIVERS\netbios.sys
0xAC946000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAC8E6000 \SystemRoot\System32\Drivers\StarOpen.SYS
0xAC8DE000 \SystemRoot\System32\drivers\TSMAPIP.SYS
0xAC8D6000 \SystemRoot\System32\drivers\Tppwrif.sys
0xAC8CE000 \SystemRoot\system32\DRIVERS\TPHKDRV.sys
0xAC8C6000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAAB88000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAC936000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAAB19000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA5E8000 \??\C:\WINDOWS\system32\Drivers\IBMBLDID.sys
0xAC926000 \SystemRoot\System32\Drivers\Fips.SYS
0xAC916000 \SystemRoot\System32\Drivers\tcusb.sys
0xAAAF3000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA644000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA7EC1000 \SystemRoot\System32\drivers\ANC.SYS
0xA7EBD000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB2DFF000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB2757000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xA7EB9000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB2BCE000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA6CFA000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xA75C6000 \SystemRoot\System32\drivers\Dxapi.sys
0xB1D74000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA72B000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xA21A7000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB8492000 \SystemRoot\system32\DRIVERS\tvtfilter.sys
0xAC986000 \SystemRoot\System32\Drivers\DRVNDDM.SYS
0xBA7F9000 \SystemRoot\System32\DLA\DLADResN.SYS
0xA2191000 \SystemRoot\System32\DLA\DLAIFS_M.SYS
0xA75CE000 \SystemRoot\System32\DLA\DLAOPIOM.SYS
0xBA62C000 \SystemRoot\System32\DLA\DLAPoolM.SYS
0xBA62E000 \??\C:\Programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys
0xB2747000 \SystemRoot\System32\DLA\DLABOIOM.SYS
0xA2179000 \SystemRoot\System32\DLA\DLAUDFAM.SYS
0xA2163000 \SystemRoot\System32\DLA\DLAUDF_M.SYS
0xB1D6C000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xB1D64000 \SystemRoot\system32\DRIVERS\vmnetbridge.sys
0xAAC56000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAAC52000 \SystemRoot\system32\DRIVERS\s24trans.sys
0xA20E8000 \SystemRoot\System32\Drivers\Crypto.SYS
0xA20C7000 \??\C:\WINDOWS\system32\Drivers\IPSECDRV.sys
0xA1FD2000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB4F8B000 \??\C:\WINDOWS\system32\drivers\hcmon.sys
0xBA3F0000 \SystemRoot\system32\DRIVERS\PROCDD.SYS
0xB4793000 \??\C:\WINDOWS\system32\Drivers\vmci.sys
0xBA5B4000 \??\C:\WINDOWS\system32\Drivers\VMparport.sys
0xA1EDA000 \??\C:\WINDOWS\system32\Drivers\vmx86.sys
0xB4713000 \??\C:\WINDOWS\system32\drivers\cpuz135_x32.sys
0xA1E10000 \SystemRoot\system32\DRIVERS\srv.sys
0xA1E0C000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xBA248000 \SystemRoot\system32\drivers\npf_devolo.sys
0xBA604000 \??\C:\WINDOWS\System32\drivers\pmemnt.sys
0xB3230000 \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys
0xA1B5C000 \??\C:\Programme\VMware\VMware Player\vstor2-ws60.sys
0xA144B000 \SystemRoot\system32\drivers\wdmaud.sys
0xA1800000 \SystemRoot\system32\drivers\sysaudio.sys
0xA131C000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
Processes (total 64):
0 System Idle Process
4 System
1364 C:\WINDOWS\system32\smss.exe
1476 csrss.exe
1504 C:\WINDOWS\system32\winlogon.exe
1548 C:\WINDOWS\system32\services.exe
1576 C:\WINDOWS\system32\lsass.exe
1804 C:\WINDOWS\system32\ibmpmsvc.exe
1832 C:\WINDOWS\system32\svchost.exe
1876 svchost.exe
900 C:\WINDOWS\system32\svchost.exe
928 C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
1040 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
1980 svchost.exe
380 svchost.exe
420 C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
1124 C:\WINDOWS\system32\BRSVC01A.EXE
1216 C:\WINDOWS\system32\BRSS01A.EXE
1224 C:\WINDOWS\system32\spoolsv.exe
1452 C:\Programme\Avira\AntiVir Desktop\sched.exe
876 C:\WINDOWS\system32\IPSSVC.EXE
1940 C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
2004 C:\Programme\Avira\AntiVir Desktop\avguard.exe
2036 C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
224 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
332 C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
864 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
520 C:\WINDOWS\system32\lmabcoms.exe
1028 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1328 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
472 C:\WINDOWS\system32\nvsvc32.exe
496 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
552 C:\WINDOWS\system32\svchost.exe
588 C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
676 C:\WINDOWS\system32\TPHDEXLG.exe
812 tvttcsd.exe
1148 C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
1348 C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
1376 C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
1420 C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
1840 C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe
2072 wdfmgr.exe
2116 C:\WINDOWS\system32\vmnat.exe
2248 C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
2540 C:\Programme\Lenovo\System Update\SUService.exe
2560 C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
2652 C:\Programme\VMware\VMware Player\vmware-authd.exe
2796 C:\WINDOWS\system32\vmnetdhcp.exe
3660 alg.exe
2376 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2412 wmiprvse.exe
3708 C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
3616 C:\WINDOWS\explorer.exe
2960 C:\Programme\Microsoft ActiveSync\wcescomm.exe
696 C:\WINDOWS\system32\svchost.exe
2268 C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
2284 C:\WINDOWS\system32\wuauclt.exe
2336 C:\PROGRA~1\MI3AA1~1\rapimgr.exe
3952 C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
3216 C:\Programme\Digital Line Detect\DLG.exe
3152 C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
280 C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe
1696 C:\WINDOWS\system32\ctfmon.exe
2404 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: HITACHIHTS541616J9SA00, Rev: SB4IC7UP
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: B13319C86EA1A4083B6AF00A1C6500ED84371FE9
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Done!
Bernd Geändert von Little_B (02.02.2011 um 13:50 Uhr) Grund: Usernamen aus LOG entfernt |
|
02.02.2011, 19:55
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres?Code:
ATTFilter Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: B13319C86EA1A4083B6AF00A1C6500ED84371FE9
Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRCheck nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.02.2011, 09:28
| #13 |
| | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Moin Arne, eigentlich ist nur XP installiert. Wie aber schon eingangs erwähnt, handelt es sich um einen Lenovo-Laptop (T61). Standardmässig ist auf solchen Rechnern ein eigener blauer Rettungsknopf eingebaut, über den beim Booten vor dem Start des Betriebssytems ein Lenovo-eigenes Restaurierungstool gestartet werden kann: Thinkvantage Rescue and Recovery 4. Das läuft somit unabhängig vom installierten XP. Ist somit so eine Art zweites ganz kleines Betriebssystem. Damit kann man Daten sichern, gesicherte Daten wiederherstellen und ein Antivirenprogramm starten. Es könnte sein, daß sich hinter dem monierten MBR-Eintrag genau das verbirgt. Deshalb nur zur Rückversicherung für mich: Soll ich jetzt Fixmbr tatsächlich ausführen? Gruss Bernd P.S.: Sorry für die späte Rückantwort, musste gestern mit meiner Freundin Wohnungen angucken Geändert von Little_B (03.02.2011 um 09:51 Uhr) Grund: Informationsergänzung zum besseren Verständnis |
|
03.02.2011, 12:23
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Könnte sein, dass es deswegen so ist. Brauchst du diesen Recover-Teil denn unbedingt? Man braucht es nur, um das Betriebssystem zu recovern, aber sowas sollte man über bootfähige DVDs machen. Bei einem Plattencrash hilft dir das nämlich sonst nicht weiter.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.02.2011, 13:08
| #15 |
| | Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? Ehrlich gesagt, hab ich das Ding noch nie benutzt. Datensicherung mach ich über Perfect Image 11, da gibts auch ne Rettungs-DVD um das ganze wiedereinzuspielen. Leider ist meine letzte Komplettsicherung schon 4 wochen her (ich weiss, grosser Fehler, hab mir aber noch keinen RAID-Server für zuhause zugelegt), daher hab ich auch kein Backup eingespielt, sondern versuch eben mit deiner Hilfe die Plagegeister so loszuwerden. Die Datensicherung über Rescue and Recovery hab ich glaub ich einmal vor 2 Jahren gemacht. Lange Rede kurzer Sinn. Ich brauch den Kram nicht wirklich. Ich nehme mal an, daß mit fixmbr und fixboot der von MBRCheck monierte Teil des MBR entfernt wird. Folge könnte dann also sein, daß mein ach so wichtiger Thinkvantage-Knopf nicht mehr funktioniert. Ich denke das Teil ist entbehrlich. Die Frage ist aber, wie komm ich eigentlich an die Wiederherstellungskonsole ran. Hintergrund: Bei mir ist dieses DOS-Fenster, in dem man auswählt, ob Start von XP oder Widerherstellungskonsole erfolgen soll, nur für den geschätzten Bruchteil einer Sekunde zu sehen, und dann nimmt das System schon den Start von XP. Gibts irgendwo einen Parameter, wo man die Dauer einstellen kann, damit Menschen mit normalen Reflexen auch eine Chance haben? Ansonsten könnte ich auch meine XP-Installations-DVD reinwerfen, ich glaub da kommt man in den Reparaturmodus und kann eine Konsole aufmachen und die Befehle ausführen. Für einen kleinen Tip wäre ich dankbar. Gruss Bernd |
|
| Themen zu Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres? |
| alter, alternative, automatisch, beseitigung, board, browser, daten, externe festplatte, festplatte, festplatte c, freundin, geschlossen, google, hamburg, infizierung, interne, internetverbindung, ip-adresse, komplett, platte, pum.disabled.securitycenter, rechner, recuva, scan, seite, seiten, suchergebnisse, trojan.dnschanger, verbindung |
Linear-Darstellung
