| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.03.2011, 10:11
| #1 |
 |  Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Hallo Trojaner Board, vor ein paar Tagen habe ich gemerkt, wie plötzlich mein Email-Account Passwort, sowie mein EA Passwort geändert wurden. Ich habe sofort auf einem anderen Rechner alle Passwörter geändert und eine neue Email erstellt und alles darauf eingerichtet. Dann habe ich einen Scan mit Malewarebytes gemacht, er fand 34 Infizierte Dateien, alle im Gimp2.6 Ordner. Scheinbar waren diese bei einem Plugin dabei. Was mich allerdings irritiert ist, dass ich diese Plugins schon sehr lange habe, vorher aber nie was passiert ist. Kann das vielleicht damit zusammenhängen, dass ich vorher Kaspersky hatte und momentan nur Avira Free, weil ich gerade auf Norton umsteigen will? Jedenfalls habe ich die Infizierten Dateien mit MBM gelöscht, doch sicher fühle ich mich immernochnicht. Localhost ist nicht zu erreichen und wenn ich GMER ausführen will hängt es sich, oder sogar den ganzen PC auf. Catchme meldet 2 Sachen. Ich wäre bereit wenn garnichts geht eine neue Festplatte zu kaufen, aber da ich am PC auch arbeite habe ich die Sorge, dass bei der Datensicherung die Maleware irgendwie mitkommt. Dann sich z.B. Rootkits per Autorun selbständig auf USB Sticks oder sogar auf Disks schreiben habe ich bereits gehört. Jedenfalls wäre es super wenn ihr mir helfen könntet.  Anbei: Logfiles. Win 7 32 Bit. PS: War mir nicht sicher wo ich es eröffnen soll, weil ich denke dass es ja auch was mit Kaspersky zu tun hat, wenns falsch ist bitte verschieben. OK, eigentlich gehört es in den anderen Berecih, "Plagegeister aller Art entfernen" oder so. Dort habe ich keinen Zutritt mehr, aber dort sind Experten, die dir die LOG-Files analysieren können. Vielleicht wird ein Admin bald verschieben. Nur so viel: Ich an deiner Stelle würde an einen SICHEREN ANDEREN Rechner gehen, von dort alle Passwörter ändern und dann beim infizierten Rechner die Platte formatieren und Windows neu drauf machen. Ansonsten hast du nie wirkliche Sicherheit. Vermutlich ist irgendeine Spyware oder ein Rootkit drauf. Dass GMER sich aufhängt kommt mir aber schon sehr Verdächtig vor. Ok, dann bitte verschieben. Und ja, das find ich auch komisch, also er scannt erst ne kurze Zeit ganz normal, dann hängt er sich auf. Und gestern hat sich der PC dann abgeschaltet to "prevent damage". Denke auch dass ich den PC formatieren muss. Will aber vorher unbedingt noch bestimmte daten sichern ohne dass sich da böse sachen mit schmuggeln |
|
08.03.2011, 11:23
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.
__________________
__________________ |
|
08.03.2011, 20:06
| #3 |
| | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Also ich hatte keine weiteren gesehen.
__________________Nebenbei: Ich musste heute eine Systemwiederherstellung machen, sonst wollte Windows nicht starten. Danach waren auch Malewarebytes etc. weg. Werde jetzt nochmal einen Scan machen, mal sehen. |
|
08.03.2011, 21:15
| #4 |
| | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Also hab jetzt nochmal Quick Scan gemacht. Malewarebytes sagt nun ist alles ok, aber ich trau dem braten nicht, vorallem da mein pc momentan öfters mal komische Sachen macht. Aber GMER klappt nun komischer Weise. Hat auchschon 1 Trojaner gefunden, zumindest laut googel ist es einer, ich lass nochmal zuende laufen, aber wenn ich das richtig verstehe heißt er ZwSaveKeyEx und ist der ntkrnlpa.exe angehängt. Geändert von Blacksheep89 (08.03.2011 um 21:35 Uhr) |
|
08.03.2011, 21:37
| #5 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!Zitat:
mach wegen der Systemwiederherstellung bitte frische Logs mit OTL.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
08.03.2011, 21:41
| #6 |
| | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Job, sobald GMER fertig ist. Und naja, Google sagt dass es ein Rootkit ist und catchme hat den auch gefunden. Natürlich steht es nicht fest, aber ich finde das schon verdächtig. Danke nochmal ^.^ Edit: Gmer Log: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-08 21:52:44
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T1L0-6 Hitachi_HDT725032VLA380 rev.V54OA73A
Running: woc8n5m6.exe; Driver: C:\Users\***\AppData\Local\Temp\kwldypoc.sys
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13BD 83097589 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 830BC092 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8EC3A000, 0x2D5378, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\plugin-container.exe[3016] USER32.dll!TrackPopupMenu 76A94B3B 5 Bytes JMP 6735C35B C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[3752] ntdll.dll!LdrLoadDll 7757F5B5 5 Bytes JMP 010D13F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [74202494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [741E5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [741E56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [7420250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [741F8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [741F4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [741F50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [741F51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [741F66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [741F82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [741F8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [741F907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [741FE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [741F4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipAlloc] [74202494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusStartup] [741E5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusShutdown] [741E56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipFree] [7420250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDeleteGraphics] [741F8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDisposeImage] [741F4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageWidth] [741F50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageHeight] [741F51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [741F66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateFromHDC] [741F82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetCompositingMode] [741F8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetInterpolationMode] [741F907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDrawImageRectI] [741FE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCloneImage] [741F4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
Device \Driver\ACPI_HAL \Device\00000046 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Reicht das? Kann sein dass die Maleware schon viel länger drauf ist oder? Geändert von Blacksheep89 (08.03.2011 um 22:01 Uhr) |
|
08.03.2011, 22:21
| #7 |
| | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! So, OTL Scans im anhang: |
|
09.03.2011, 14:47
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:1B22F0EC
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.03.2011, 17:42
| #9 |
| | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Erledigt: Code:
ATTFilter All processes killed
========== OTL ==========
ADS C:\ProgramData\TEMP:1B22F0EC deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Gast
->Temp folder emptied: 175356 bytes
->Temporary Internet Files folder emptied: 23720720 bytes
->Java cache emptied: 86846 bytes
->FireFox cache emptied: 101520862 bytes
->Flash cache emptied: 59844 bytes
User: ****
->Temp folder emptied: 190937108 bytes
->Temporary Internet Files folder emptied: 73389607 bytes
->Java cache emptied: 16447103 bytes
->FireFox cache emptied: 65747798 bytes
->Google Chrome cache emptied: 6126175 bytes
->Flash cache emptied: 2425484 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 608 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 458,00 mb
OTL by OldTimer - Version 3.2.22.3 log created on 03092011_164239
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
Geändert von Blacksheep89 (09.03.2011 um 17:52 Uhr) |
|
09.03.2011, 21:59
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
09.03.2011, 23:23
| #12 |
| | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!Code:
ATTFilter ComboFix 11-03-09.01 - **** 09.03.2011 22:56:47.1.4 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.2047.1438 [GMT 1:00]
ausgeführt von:: c:\users\****\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\users\****\AppData\Roaming\EurekaLog
c:\users\****\AppData\Roaming\EurekaLog\CyberGhost\CyberGhost.elf
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-02-09 bis 2011-03-09 ))))))))))))))))))))))))))))))
.
.
2011-03-09 22:04 . 2011-03-09 22:05 -------- d-----w- c:\users\****\AppData\Local\temp
2011-03-09 22:04 . 2011-03-09 22:04 -------- d-----w- c:\users\Gast\AppData\Local\temp
2011-03-09 22:04 . 2011-03-09 22:04 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-03-09 21:45 . 2011-03-09 21:45 -------- d-----w- c:\program files\CCleaner
2011-03-09 15:42 . 2011-03-09 15:42 -------- d-----w- C:\_OTL
2011-03-09 14:25 . 2010-12-18 05:30 2690560 ----a-w- c:\windows\system32\mstscax.dll
2011-03-09 14:25 . 2010-12-18 05:26 1034240 ----a-w- c:\windows\system32\mstsc.exe
2011-03-09 14:25 . 2011-02-19 05:33 802304 ----a-w- c:\windows\system32\FntCache.dll
2011-03-09 14:25 . 2011-02-19 05:32 1074176 ----a-w- c:\windows\system32\DWrite.dll
2011-03-09 14:25 . 2011-02-19 05:32 739840 ----a-w- c:\windows\system32\d2d1.dll
2011-03-09 14:25 . 2010-12-23 05:28 850432 ----a-w- c:\windows\system32\sbe.dll
2011-03-09 14:25 . 2010-12-23 05:28 642048 ----a-w- c:\windows\system32\CPFilters.dll
2011-03-09 14:25 . 2010-12-23 05:28 534528 ----a-w- c:\windows\system32\EncDec.dll
2011-03-09 14:25 . 2010-12-23 05:24 199680 ----a-w- c:\windows\system32\mpg2splt.ax
2011-03-05 12:57 . 2011-03-05 12:57 -------- d-----w- c:\users\Gast\AppData\Roaming\Malwarebytes
2011-03-04 17:37 . 2011-03-04 17:37 -------- d-----w- c:\programdata\Electronic Arts
2011-03-04 17:37 . 2011-03-04 17:37 -------- d-----w- c:\programdata\EA Core
2011-03-04 17:33 . 2011-03-04 17:33 -------- d-----w- c:\program files\Electronic Arts
2011-02-27 08:54 . 2011-03-08 15:01 -------- d-----w- c:\users\Gast\AppData\Local\LogMeIn Hamachi
2011-02-24 14:59 . 2011-02-24 15:47 -------- d-----w- c:\users\****\AppData\Roaming\TeamViewer
2011-02-23 17:43 . 2010-09-14 06:07 276992 ----a-w- c:\windows\system32\wcncsvc.dll
2011-02-23 13:56 . 2011-01-07 07:31 442880 ----a-w- c:\windows\system32\XpsPrint.dll
2011-02-23 13:56 . 2011-01-07 07:31 288256 ----a-w- c:\windows\system32\XpsGdiConverter.dll
2011-02-18 22:01 . 2011-02-18 22:12 -------- d-----w- c:\program files\Steamless CounterStrikeSource Pack
2011-02-17 18:49 . 2011-03-08 15:01 -------- d-----w- c:\users\****\AppData\Roaming\.minecraft
2011-02-17 17:17 . 2011-02-17 17:18 -------- d-----w- c:\users\****\AppData\Roaming\.minecraft - Kopie (2)
2011-02-13 22:29 . 2011-02-13 22:34 -------- d-----w- c:\users\****\AppData\Roaming\.minecraft - Kopie
2011-02-09 20:16 . 2011-03-09 20:00 -------- d-----w- c:\users\****\AppData\Local\LogMeIn Hamachi
2011-02-09 20:16 . 2011-02-09 20:16 -------- d-----w- c:\program files\LogMeIn Hamachi
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-05-11 19:29 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-05-11 19:29 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-13 07:39 . 2010-12-24 18:58 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-13 07:39 . 2010-12-24 18:58 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2009-07-14 144384]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-12-03 14944136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-02-22 8522272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
.
c:\users\Gast\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112]
R3 CGVPNCliSrvc;CyberGhost VPN Client;c:\program files\S.A.D\CyberGhost VPN\CGVPNCliService.exe [2011-02-02 2413704]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-12-13 135336]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 1238408]
S2 HssWd;Hotspot Shield Monitoring Service;c:\program files\Hotspot Shield\bin\hsswd.exe [2010-01-08 285744]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - SSMDRV
.
.
------- Zusätzlicher Suchlauf -------
.
Trusted Zone: worldofwarcraft.com\eu.logon
FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\3xnu5lcx.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.1&q=
FF - prefs.js: network.proxy.type - 2
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Octoshape add-in for Adobe Flash Player - c:\users\****\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-09 23:06:51
ComboFix-quarantined-files.txt 2011-03-09 22:06
.
Vor Suchlauf: 25 Verzeichnis(se), 158.336.831.488 Bytes frei
Nach Suchlauf: 32 Verzeichnis(se), 158.293.037.056 Bytes frei
.
- - End Of File - - A95D855DF35608142018FEC383887E92
Hab danach nochmal nen neustart gemacht. |
|
10.03.2011, 12:49
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
10.03.2011, 17:06
| #14 |
| | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Alles klar: Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: MICRO-STAR INTERNATIONAL CO.,LTD
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MICRO-STAR INTERNATIONAL CO.,LTD
System Product Name: MS-7388
Logical Drives Mask: 0x0000000d
Kernel Drivers (total 185):
0x83040000 \SystemRoot\system32\ntkrnlpa.exe
0x83009000 \SystemRoot\system32\halmacpi.dll
0x80BA6000 \SystemRoot\system32\kdcom.dll
0x8362C000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
0x83637000 \SystemRoot\system32\PSHED.dll
0x83648000 \SystemRoot\system32\BOOTVID.dll
0x83650000 \SystemRoot\system32\CLFS.SYS
0x83692000 \SystemRoot\system32\CI.dll
0x8373D000 \SystemRoot\system32\drivers\Wdf01000.sys
0x837AE000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x89002000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x8904A000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x89053000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8905B000 \SystemRoot\system32\DRIVERS\pci.sys
0x89085000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x89090000 \SystemRoot\System32\drivers\partmgr.sys
0x890A1000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x890B1000 \SystemRoot\System32\drivers\volmgrx.sys
0x890FC000 \SystemRoot\system32\DRIVERS\pciide.sys
0x89103000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x89111000 \SystemRoot\System32\drivers\mountmgr.sys
0x89127000 \SystemRoot\system32\DRIVERS\atapi.sys
0x89130000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x89153000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x8915C000 \SystemRoot\system32\drivers\fltmgr.sys
0x89190000 \SystemRoot\system32\drivers\fileinfo.sys
0x89217000 \SystemRoot\System32\Drivers\Ntfs.sys
0x89346000 \SystemRoot\System32\Drivers\msrpc.sys
0x89371000 \SystemRoot\System32\Drivers\ksecdd.sys
0x89384000 \SystemRoot\System32\Drivers\cng.sys
0x893E1000 \SystemRoot\System32\drivers\pcw.sys
0x893EF000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8943D000 \SystemRoot\system32\drivers\ndis.sys
0x894F4000 \SystemRoot\system32\drivers\NETIO.SYS
0x89532000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8963C000 \SystemRoot\System32\drivers\tcpip.sys
0x89785000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x897B6000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x897F5000 \SystemRoot\System32\Drivers\spldr.sys
0x89600000 \SystemRoot\System32\drivers\rdyboost.sys
0x89557000 \SystemRoot\System32\Drivers\mup.sys
0x8962D000 \SystemRoot\System32\drivers\hwpolicy.sys
0x89567000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x89599000 \SystemRoot\system32\DRIVERS\disk.sys
0x895AA000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x895CF000 \SystemRoot\system32\DRIVERS\AtiPcie.sys
0x89411000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x89635000 \SystemRoot\System32\Drivers\Null.SYS
0x89430000 \SystemRoot\System32\Drivers\Beep.SYS
0x89200000 \SystemRoot\System32\drivers\vga.sys
0x891A1000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x891C2000 \SystemRoot\System32\drivers\watchdog.sys
0x895F8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8920C000 \SystemRoot\system32\drivers\rdpencdd.sys
0x893F8000 \SystemRoot\system32\drivers\rdprefmp.sys
0x891CF000 \SystemRoot\System32\Drivers\Msfs.SYS
0x891DA000 \SystemRoot\System32\Drivers\Npfs.SYS
0x891E8000 \SystemRoot\system32\DRIVERS\tdx.sys
0x837BC000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8E234000 \SystemRoot\system32\drivers\afd.sys
0x8E28E000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8E2C0000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x8E2C7000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8E2E6000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8E2F4000 \SystemRoot\system32\DRIVERS\serial.sys
0x8E30E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8E321000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8E331000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8E337000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8E378000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8E382000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8E38C000 \SystemRoot\System32\drivers\discache.sys
0x8E398000 \SystemRoot\System32\Drivers\dfsc.sys
0x8E3B0000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x8E3BE000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8E200000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8E221000 \SystemRoot\system32\DRIVERS\amdppm.sys
0x8EC1A000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x8F12F000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x837C7000 \SystemRoot\System32\drivers\dxgmms1.sys
0x83600000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8F23E000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
0x8F263000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8F26D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8F2B8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8F2C7000 \SystemRoot\system32\DRIVERS\serenum.sys
0x8F2D1000 \SystemRoot\system32\DRIVERS\fdc.sys
0x8F2DC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8F2F4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8F301000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8F30A000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x8F317000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x8F329000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8F341000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8F34C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8F36E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8F386000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8F39D000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8F3B4000 \SystemRoot\system32\DRIVERS\tap0901.sys
0x8F3BB000 \SystemRoot\system32\DRIVERS\hamachi.sys
0x8F3C0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8F3CD000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8F200000 \SystemRoot\system32\DRIVERS\ks.sys
0x8F3CF000 \SystemRoot\system32\DRIVERS\umbus.sys
0x93C3C000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x93C80000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0x93C8A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x93C9B000 \SystemRoot\system32\drivers\HdAudio.sys
0x93CEB000 \SystemRoot\system32\drivers\portcls.sys
0x93D1A000 \SystemRoot\system32\drivers\drmk.sys
0x94023000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x94304000 \SystemRoot\System32\Drivers\crashdmp.sys
0x94311000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x9431C000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x94325000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x95B90000 \SystemRoot\System32\win32k.sys
0x94336000 \SystemRoot\System32\drivers\Dxapi.sys
0x94340000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x9434B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x9435E000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x94365000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x94367000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x94372000 \SystemRoot\system32\DRIVERS\monitor.sys
0x95DF0000 \SystemRoot\System32\TSDDD.dll
0x95A20000 \SystemRoot\System32\ATMFD.DLL
0x95A70000 \SystemRoot\System32\cdd.dll
0x9437D000 \SystemRoot\system32\drivers\luafv.sys
0x94398000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x943AD000 \SystemRoot\system32\drivers\WudfPf.sys
0x943C7000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x943D7000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x93D33000 \SystemRoot\system32\drivers\HTTP.sys
0x94000000 \SystemRoot\system32\DRIVERS\bowser.sys
0x943EA000 \SystemRoot\System32\drivers\mpsdrv.sys
0x93DB8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x93C00000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x93DDB000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9BE19000 \SystemRoot\system32\drivers\peauth.sys
0x9BEB0000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9BEBA000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9BEDB000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9BEE8000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9BF37000 \SystemRoot\System32\DRIVERS\srv.sys
0x9BFF2000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x9BE00000 \??\C:\Users\****\AppData\Local\Temp\kwldypoc.sys
0x9BF88000 \SystemRoot\System32\Drivers\fastfat.SYS
0x77610000 \Windows\System32\ntdll.dll
0x47890000 \Windows\System32\smss.exe
0x77850000 \Windows\System32\apisetschema.dll
0x00940000 \Windows\System32\autochk.exe
0x77770000 \Windows\System32\user32.dll
0x77560000 \Windows\System32\rpcrt4.dll
0x77530000 \Windows\System32\imagehlp.dll
0x773D0000 \Windows\System32\ole32.dll
0x77380000 \Windows\System32\Wldap32.dll
0x772B0000 \Windows\System32\msctf.dll
0x77270000 \Windows\System32\ws2_32.dll
0x77760000 \Windows\System32\normaliz.dll
0x77190000 \Windows\System32\kernel32.dll
0x770F0000 \Windows\System32\usp10.dll
0x77040000 \Windows\System32\msvcrt.dll
0x76FB0000 \Windows\System32\oleaut32.dll
0x76F20000 \Windows\System32\clbcatq.dll
0x77750000 \Windows\System32\nsi.dll
0x76F00000 \Windows\System32\imm32.dll
0x76EA0000 \Windows\System32\difxapi.dll
0x76250000 \Windows\System32\shell32.dll
0x76110000 \Windows\System32\urlmon.dll
0x760F0000 \Windows\System32\sechost.dll
0x75F50000 \Windows\System32\setupapi.dll
0x75EB0000 \Windows\System32\advapi32.dll
0x75CB0000 \Windows\System32\iertutil.dll
0x75CA0000 \Windows\System32\psapi.dll
0x75C20000 \Windows\System32\comdlg32.dll
0x75BC0000 \Windows\System32\shlwapi.dll
0x75BB0000 \Windows\System32\lpk.dll
0x75B60000 \Windows\System32\gdi32.dll
0x75A60000 \Windows\System32\wininet.dll
0x75A40000 \Windows\System32\devobj.dll
0x75A10000 \Windows\System32\cfgmgr32.dll
0x759E0000 \Windows\System32\wintrust.dll
0x75990000 \Windows\System32\KernelBase.dll
0x75900000 \Windows\System32\comctl32.dll
0x757E0000 \Windows\System32\crypt32.dll
0x757D0000 \Windows\System32\msasn1.dll
Processes (total 52):
0 System Idle Process
4 System
276 C:\Windows\System32\smss.exe
400 csrss.exe
472 C:\Windows\System32\wininit.exe
480 csrss.exe
520 C:\Windows\System32\services.exe
536 C:\Windows\System32\lsass.exe
544 C:\Windows\System32\lsm.exe
656 C:\Windows\System32\svchost.exe
704 C:\Windows\System32\winlogon.exe
816 C:\Windows\System32\svchost.exe
892 C:\Windows\System32\atiesrxx.exe
952 C:\Windows\System32\svchost.exe
988 C:\Windows\System32\svchost.exe
1036 C:\Windows\System32\svchost.exe
1176 C:\Windows\System32\svchost.exe
1268 C:\Windows\System32\atieclxx.exe
1316 C:\Windows\System32\svchost.exe
1544 C:\Windows\System32\spoolsv.exe
1576 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1596 C:\Windows\System32\svchost.exe
1712 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1756 C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
1788 C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
1820 C:\Windows\System32\svchost.exe
1848 C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
1876 C:\Program Files\Hotspot Shield\bin\hsswd.exe
1916 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
1956 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1968 C:\Windows\System32\conhost.exe
2004 C:\Windows\System32\svchost.exe
1508 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
2904 C:\Windows\System32\svchost.exe
3076 C:\Windows\System32\taskhost.exe
3152 C:\Windows\System32\dwm.exe
3204 C:\Windows\explorer.exe
3300 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
3420 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3476 C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
1416 C:\Windows\System32\SearchIndexer.exe
2560 C:\Program Files\Windows Media Player\wmpnetwk.exe
3836 C:\Windows\System32\svchost.exe
672 C:\Program Files\Mozilla Firefox\firefox.exe
2448 C:\Program Files\Mozilla Firefox\plugin-container.exe
2328 C:\Windows\System32\SearchProtocolHost.exe
3168 C:\Windows\System32\SearchFilterHost.exe
2480 C:\Windows\explorer.exe
2868 C:\Windows\System32\audiodg.exe
3628 C:\Users\****\Desktop\MBRCheck.exe
1720 C:\Windows\System32\conhost.exe
1172 C:\Windows\System32\dllhost.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)
PhysicalDrive0 Model Number: HitachiHDT725032VLA380, Rev: V54OA73A
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
Done!
Gmer: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-10 16:44:57
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T1L0-6 Hitachi_HDT725032VLA380 rev.V54OA73A
Running: 1jw9hp18.exe; Driver: C:\Users\****\AppData\Local\Temp\kwldypoc.sys
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13BD 83083589 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 830A8092 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8EC1B000, 0x2D5378, 0xE8000020]
PAGE spsys.sys!?SPRevision@@3PADA + 4F90 9BFA5000 290 Bytes [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 50B3 9BFA5123 629 Bytes [05, FA, 9B, FE, 05, 34, 05, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 5329 9BFA5399 101 Bytes [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 538F 9BFA53FF 148 Bytes [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 543B 9BFA54AB 2228 Bytes [8B, FF, 55, 8B, EC, FF, 75, ...]
PAGE ...
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [742F2494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [742D5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [742D56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [742F250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [742E8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [742E4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [742E50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [742E51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [742E66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [742E82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [742E8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [742E907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [742EE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [742E4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
Device \Driver\ACPI_HAL \Device\00000046 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
---- Threads - GMER 1.0.15 ----
Thread System [4:3100] 9BFB2F2E
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\SAM041EH9XQB02323_2F_07D8_2D^87585AC7630E6501383E3F73C924A93B@Timestamp 0x1E 0x47 0x9C 0xB1 ...
---- EOF - GMER 1.0.15 ----
OSAM: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 16:53:58 on 10.03.2011 OS: Windows 7 Home Premium Edition (Build 7600), 32-bit Default Browser: Mozilla Corporation Firefox 3.6.15 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\Users\****\AppData\Local\Temp\catchme.sys (File not found) "Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\Windows\System32\DRIVERS\hamachi.sys "kwldypoc" (kwldypoc) - ? - C:\Users\****\AppData\Local\Temp\kwldypoc.sys (Hidden registry entry, rootkit activity | File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? - (File not found | COM-object registry key not found) {1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found) {34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found) {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? - (File not found | COM-object registry key not found) {2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? - (File not found | COM-object registry key not found) {00020d75-0000-0000-c000-000000000046} "lnkfile" - ? - (File not found | COM-object registry key not found) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? - (File not found | COM-object registry key not found) {E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? - (File not found | COM-object registry key not found) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll {da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? - (File not found | COM-object registry key not found) {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "{724D43A0-0D85-11D4-9908-00400523E39A}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10k.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "ICQ7" - "ICQ, LLC." - C:\Program Files\ICQ7.0\ICQ.exe -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll {855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" - ? - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (File not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll {5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "Skype" - "Skype Technologies S.A." - "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized -----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )----- "StartupPrograms" - ? - rdpclip (File not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" "AdobeAAMUpdater-1.0" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" "avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min "LogMeIn Hamachi Ui" - "LogMeIn Inc." - "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe "CyberGhost VPN Client" (CGVPNCliSrvc) - "mobile concepts GmbH" - C:\Program Files\S.A.D\CyberGhost VPN\CGVPNCliService.exe "Hotspot Shield Monitoring Service" (HssWd) - ? - C:\Program Files\Hotspot Shield\bin\hsswd.exe (File found, but it contains no detailed information) "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe "LogMeIn Hamachi 2.0 Tunneling Engine" (Hamachi2Svc) - "LogMeIn Inc." - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "SBSD Security Center Service" (SBSDWSCService) - "Safer Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe "Sony Ericsson OMSI download service" (OMSI download service) - ? - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe (File found, but it contains no detailed information) "Steam Client Service" (Steam Client Service) - "Valve Corporation" - C:\Program Files\Common Files\Steam\SteamService.exe "Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - ? - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru PS: Diesmal hat GMER ziemlich lang gebraucht, immerhin hats beim 1. versuch geklappt. |
|
10.03.2011, 17:54
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! |
| autorun, avira, bereit, dateien, daten sichern, datensicherung, festplatte, free, gelöscht, gmer, hängen, hängt, infizierte, infizierte dateien, kaspersky, log-files, maleware, neue, neue festplatte, nicht sicher, norton, passwort, passwort geändert, passwörter, rechner, rootkits, scan, selbständig, super, tan, trojaner, trojaner board, usb, ändern |
Linear-Darstellung
