Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   T-Online meldet Torpig und Mebroot (https://www.trojaner-board.de/101929-t-online-meldet-torpig-mebroot.html)

Mic4 01.08.2011 20:42
T-Online meldet Torpig und Mebroot
 
Guten Tag allerseits,

mein Problem ist dem Problem von MfromH sehr ähnlich, deswegen habe ich denselben Titel gewählt.
Ein Freund hat von der Telekom Abuse Team eine Warnung erhalten, dass von seinem Anschluss aus Angriffe auf andere Rechner erfolgen. Auf Nachfrage wurde mitgeteilt, dass er ein Sinkhole kontaktiert hat.
Zitat:
> Anhand der gemeldeten IP-Adresse und des exakten Zeitpunktes des
> Zugriffs können wir für einen begrenzten Zeitraum (sieben Tage) den
> missbrauchten Internetzugang ermitteln und schreiben den Inhaber dieses
> Zugangs an. Wichtig: Uns liegen keinerlei Informationen darüber vor,
> welcher Rechner "hinter" Ihrem Router das Problem aufweist.
In dem Haushalt werden zwei PCs verwendet.
Ich habe im oben genannten Thread mitgelesen, konnte daraufhin mit GMER einen vermutlich mit dem Rootkit

Sinowal verseuchten Rechner identifizieren, siehe GMER-Log.
Reicht es, den Rechner von einer CD zu booten und den MBR neu zu schreiben? Kann man die atksgt.sys und xcpip.sys löschen, wenn der Rechner von einer CD gebootet wurde ?
Vielen Dank für eure Hilfe, in der Hoffnung noch einige Tipps zu bekommen
Michael

MBAM Logging
Code:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7336

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

31.07.2011 15:37:58
mbam-log-2011-07-31 (15-37-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 257908
Laufzeit: 2 Stunde(n), 52 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
GMER Logging

GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-01 19:51:37
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380022A rev.3.33
Running: qtr3zz9c.exe; Driver: C:\DOKUME~1\Hauke\LOKALE~1\Temp\uxtdapoc.sys


---- System - GMER 1.0.15 ----

SSDT    BA9BBB3E                                                                                              ZwCreateKey
SSDT    BA9BBB34                                                                                              ZwCreateThread
SSDT    BA9BBB43                                                                                              ZwDeleteKey
SSDT    BA9BBB4D                                                                                              ZwDeleteValueKey
SSDT    sptd.sys                                                                                              ZwEnumerateKey [0xF750BC7E]
SSDT    sptd.sys                                                                                              ZwEnumerateValueKey [0xF750BFF6]
SSDT    BA9BBB52                                                                                              ZwLoadKey
SSDT    sptd.sys                                                                                              ZwOpenKey [0xF750BA18]
SSDT    BA9BBB20                                                                                              ZwOpenProcess
SSDT    BA9BBB25                                                                                              ZwOpenThread
SSDT    sptd.sys                                                                                              ZwQueryKey [0xF750C0C0]
SSDT    sptd.sys                                                                                              ZwQueryValueKey [0xF750BF58]
SSDT    BA9BBB5C                                                                                              ZwReplaceKey
SSDT    BA9BBB57                                                                                              ZwRestoreKey
SSDT    BA9BBB48                                                                                              ZwSetValueKey
SSDT    BA9BBB2F                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?      C:\WINDOWS\system32\drivers\sptd.sys                                                                  Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
?      C:\WINDOWS\System32\Drivers\SPTD0045.SYS                                                              Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
?      system32\drivers\xpsec.sys                                                                            Das System kann den angegebenen Pfad nicht finden. !
.text  C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                section is writeable [0xAFBAA300, 0x3ACC8, 0xE8000020]
?      system32\drivers\xcpip.sys                                                                            Das System kann den angegebenen Pfad nicht finden. !
.text  C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                section is writeable [0xF781F300, 0x1B7E, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!closesocket        71A13E2B 5 Bytes  JMP 00759F7E
.text  C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!send              71A14C27 5 Bytes  JMP 00759B1B
.text  C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!WSARecv            71A14CB5 5 Bytes  JMP 00759E30
.text  C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!recv              71A1676F 5 Bytes  JMP 00759BFC
.text  C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!WSASend            71A168FA 5 Bytes  JMP 00759CCF
.text  C:\WINDOWS\system32\winlogon.exe[788] Secur32.dll!LsaLogonUser                                        77FC33D8 5 Bytes  JMP 01482C81
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!closesocket                            71A13E2B 5 Bytes  JMP 01879F7E
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!send                                    71A14C27 5 Bytes  JMP 01879B1B
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!WSARecv                                71A14CB5 5 Bytes  JMP 01879E30
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!recv                                    71A1676F 5 Bytes  JMP 01879BFC
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!WSASend                                71A168FA 5 Bytes  JMP 01879CCF
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!closesocket                          71A13E2B 5 Bytes  JMP 03F69F7E
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!send                                  71A14C27 5 Bytes  JMP 03F69B1B
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!WSARecv                              71A14CB5 5 Bytes  JMP 03F69E30
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!recv                                  71A1676F 5 Bytes  JMP 03F69BFC
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!WSASend                              71A168FA 5 Bytes  JMP 03F69CCF
.text  C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!closesocket                                71A13E2B 5 Bytes  JMP 01839F7E
.text  C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!send                                        71A14C27 5 Bytes  JMP 01839B1B
.text  C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!WSARecv                                    71A14CB5 5 Bytes  JMP 01839E30
.text  C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!recv                                        71A1676F 5 Bytes  JMP 01839BFC
.text  C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!WSASend                                    71A168FA 5 Bytes  JMP 01839CCF
.text  C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!closesocket                                              71A13E2B 5 Bytes  JMP 00B39F7E
.text  C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!send                                                    71A14C27 5 Bytes  JMP 00B39B1B
.text  C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!WSARecv                                                  71A14CB5 5 Bytes  JMP 00B39E30
.text  C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!recv                                                    71A1676F 5 Bytes  JMP 00B39BFC
.text  C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!WSASend                                                  71A168FA 5 Bytes  JMP 00B39CCF
.text  C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!closesocket                                    71A13E2B 5 Bytes  JMP 00B99F7E
.text  C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 00B99B1B
.text  C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 00B99E30
.text  C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 00B99BFC
.text  C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 00B99CCF
.text  C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!closesocket                                        71A13E2B 5 Bytes  JMP 01249F7E
.text  C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!send                                                71A14C27 5 Bytes  JMP 01249B1B
.text  C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!WSARecv                                            71A14CB5 5 Bytes  JMP 01249E30
.text  C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!recv                                                71A1676F 5 Bytes  JMP 01249BFC
.text  C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!WSASend                                            71A168FA 5 Bytes  JMP 01249CCF
.text  C:\WINDOWS\Explorer.EXE[3496] USER32.dll!DisplayExitWindowsWarnings                                  7E3A9F91 5 Bytes  JMP 00EF2A93
.text  C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!closesocket                                                  71A13E2B 5 Bytes  JMP 00DE9F7E
.text  C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!send                                                        71A14C27 5 Bytes  JMP 00DE9B1B
.text  C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!WSARecv                                                      71A14CB5 5 Bytes  JMP 00DE9E30
.text  C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!recv                                                        71A1676F 5 Bytes  JMP 00DE9BFC
.text  C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!WSASend                                                      71A168FA 5 Bytes  JMP 00DE9CCF
.text  C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!closesocket                  71A13E2B 5 Bytes  JMP 012A9F7E
.text  C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!send                          71A14C27 5 Bytes  JMP 012A9B1B
.text  C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!WSARecv                      71A14CB5 5 Bytes  JMP 012A9E30
.text  C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!recv                          71A1676F 5 Bytes  JMP 012A9BFC
.text  C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!WSASend                      71A168FA 5 Bytes  JMP 012A9CCF
.text  C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!closesocket                                    71A13E2B 5 Bytes  JMP 01079F7E
.text  C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!send                                            71A14C27 5 Bytes  JMP 01079B1B
.text  C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 01079E30
.text  C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!recv                                            71A1676F 5 Bytes  JMP 01079BFC
.text  C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 01079CCF

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT    pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                  [F7514DB2] sptd.sys
IAT    pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                    [F752A71E] sptd.sys
IAT    ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference]                                                [F75153B2] sptd.sys
IAT    ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer]                                                    [F75152B6] sptd.sys
IAT    ftdisk.sys[ntoskrnl.exe!IofCallDriver]                                                                [F7515482] sptd.sys
IAT    PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                [F752A032] sptd.sys
IAT    PartMgr.sys[ntoskrnl.exe!IoDetachDevice]                                                              [F7514F6E] sptd.sys
IAT    atapi.sys[ntoskrnl.exe!IofCompleteRequest]                                                            [F7529C76] sptd.sys
IAT    atapi.sys[ntoskrnl.exe!IoConnectInterrupt]                                                            [F7514E06] sptd.sys
IAT    atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                    [F7507A32] sptd.sys
IAT    atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                            [F7507B6E] sptd.sys
IAT    atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                  [F7507AF6] sptd.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                          [F75086CC] sptd.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                  [F75085A2] sptd.sys
IAT    disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                    [F752A864] sptd.sys
IAT    \WINDOWS\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice]                                  [F7519F78] sptd.sys
IAT    \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                    [F7529C82] sptd.sys
IAT    \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                      [F752A864] sptd.sys
IAT    \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest]                            [F7529C76] sptd.sys
IAT    \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver]                                    [F7507020] sptd.sys
IAT    \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver]                                  [F7507020] sptd.sys

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                8A34A808
Device  \FileSystem\Udfs \UdfsCdRom                                                                          89EABD80
Device  \FileSystem\Udfs \UdfsDisk                                                                            89EABD80
Device  \Driver\NetBT \Device\NetBT_Tcpip_{3A4D1200-9397-4E8E-9F22-0F3FA3CC45E6}                              8A0D30E8
Device  \Driver\Ftdisk \Device\HarddiskVolume1                                                                8A34AEB0
Device  \Driver\NetBT \Device\NetBT_Tcpip_{041FEC7F-1FC5-42C2-872E-33B4CD361153}                              8A0D30E8
Device  \Driver\Cdrom \Device\CdRom0                                                                          8A16BEB0
Device  \FileSystem\Rdbss \Device\FsWrap                                                                      8A11A6B0
Device  \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                                                          [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                          [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\atapi \Device\Ide\IdePort0                                                                    [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\atapi \Device\Ide\IdePort1                                                                    [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                                                          [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device  \Driver\Cdrom \Device\CdRom1                                                                          8A16BEB0
Device  \Driver\USBSTOR \Device\00000076                                                                      8A26B7F8
Device  \Driver\NetBT \Device\NetBt_Wins_Export                                                              8A0D30E8
Device  \Driver\USBSTOR \Device\00000078                                                                      8A26B7F8
Device  \Driver\NetBT \Device\NetbiosSmb                                                                      8A0D30E8
Device  \Driver\Disk \Device\Harddisk0\DR0                                                                    8A34AA40
Device  \Driver\Disk \Device\Harddisk1\DR4                                                                    8A34AA40
Device  \Driver\Disk \Device\Harddisk1\DP(1)0-0+5                                                            8A34AA40
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                    8A219EB0
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                                                          8A219EB0
Device  \FileSystem\Npfs \Device\NamedPipe                                                                    8A1BA9F0
Device  \Driver\Ftdisk \Device\FtControl                                                                      8A34AEB0
Device  \FileSystem\Msfs \Device\Mailslot                                                                    8A11B0E8
Device  \FileSystem\Cdfs \Cdfs                                                                                8A3870E8

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0009dd508cbc (not active ControlSet)     
Reg    HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0009dd508cbc@0025676a5a50                  0x9E 0x03 0xB4 0xEC ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) 
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) 
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg    HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd508cbc                         
Reg    HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd508cbc@0025676a5a50              0x9E 0x03 0xB4 0xEC ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0                                                    -1708384478
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                    36670921
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                    1319591190
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                     
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                  C:\Programme\Alcohol Soft\Alcohol 120\
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) 
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                      C:\Programme\Alcohol Soft\Alcohol 120\

---- Disk sectors - GMER 1.0.15 ----

Disk    \Device\Harddisk0\DR0                                                                                sector 00: rootkit-like behavior
Disk    \Device\Harddisk0\DR0                                                                                malicious Win32:MBRoot code @ sector 156296388
Disk    \Device\Harddisk0\DR0                                                                                PE file @ sector 156296410
Disk    \Device\Harddisk0\DR0                                                                                MBRoot/Sinowal@MBR code has been found                                                                          <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----
--- --- ---

Mic4 01.08.2011 21:12
ich gehe davon aus, dass der zweite Rechner nicht verseucht ist, oder muss ich wegen der ntoskernel Hinweise den Rechner genauer prüfen?

GMER Log
[code]
GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-01 12:35:24
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD800BB-75FJA1 rev.14.03G14
Running: 8vvh58qk.exe; Driver: C:\DOKUME~1\Walter\LOKALE~1\Temp\pxtdapob.sys


---- System - GMER 1.0.15 ----

SSDT  F059906C                                  ZwClose
SSDT  F0599026                                  ZwCreateKey
SSDT  F0599076                                  ZwCreateSection
SSDT  F059901C                                  ZwCreateThread
SSDT  F059902B                                  ZwDeleteKey
SSDT  F0599035                                  ZwDeleteValueKey
SSDT  F0599067                                  ZwDuplicateObject
SSDT  F059903A                                  ZwLoadKey
SSDT  F0599008                                  ZwOpenProcess
SSDT  F059900D                                  ZwOpenThread
SSDT  F0599044                                  ZwReplaceKey
SSDT  F059903F                                  ZwRestoreKey
SSDT  F059907B                                  ZwSetContextThread
SSDT  F0599030                                  ZwSetValueKey
SSDT  F0599017                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!_abnormal_termination + 148  804E27B4 2 Bytes  [2B, 90]
.text  ntoskrnl.exe!_abnormal_termination + 14B  804E27B7 1 Byte  [F0]
.text  ntoskrnl.exe!_abnormal_termination + 150  804E27BC 2 Bytes  [35, 90]
.text  ntoskrnl.exe!_abnormal_termination + 153  804E27BF 1 Byte  [F0]

---- EOF - GMER 1.0.15 ----
--- --- ---

Swisstreasure 03.08.2011 00:04
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Kümmern wir uns in erster Linie mal um den infizierten Rechner.

Schritt 1
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Schritt 2

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Klicke auf Scan
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt 3

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Mic4 04.08.2011 08:35
Vielen Dank für die Hilfe,
damit du nicht glaubst, es besteht kein Interesse mehr an einer Hilfestellung, eine kurze Rückmeldung.
Ich habe dem Benutzer des Computers den Link zu diesem Thread gesendet, aber er fühlt sich mit den Anweisungen und Hinweisen überfordert (wieso eigentlich, ist doch klar beschrieben?).
Ich kann also noch keine Logs liefern.
Ich denke, ich werde einen Hausbesuch machen oder muss Teamviewer auf dem betroffenen Computer installieren.
Du wirst von mir hören, wenn die geforderten Logs verfügbar sind.

Michael

Swisstreasure 04.08.2011 12:42
Ok, melde Dich wieder.

Swisstreasure 05.08.2011 00:48
Ich bin bis am Sonntag abwesend. Melde mich dann aber gleich wieder.

Mic4 07.08.2011 00:13
Nachdem GMER den Rechner untersucht hatte, habe ich den Rechner von der WinXP CD gestartet, in der WiederherstellungsKonsole den MBR und den Bootsektor neu geschrieben, zwei Dienste xpsec und xcpip deaktivert, die atapi.sys von der CD zu C:\WINDOWS\system32\drivers kopiert:
in der Wiederherstellungskonsole folgende Befehle eingegeben:
Code:
fixmbr
fixboot
listsvc
disable xpsec
disable xcpip

Combofix Log
[code]
Combofix Logfile:
Code:
ComboFix 11-08-03.03 - Hauke 07.08.2011  0:24.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1535.1095 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Hauke\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\1.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\4489.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\a.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\b.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\c.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\d.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\e.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\f.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\g.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\h.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\i.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\j.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\k.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\l.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\m.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\n.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\o.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\p.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\q.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\r.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\s.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\t.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\u.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\v.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\w.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\wlu.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\x.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\y.txt
c:\dokumente und einstellungen\Hauke\Anwendungsdaten\PriceGong\Data\z.txt
c:\dokumente und einstellungen\Hauke\WINDOWS
c:\dokumente und einstellungen\HelpAssistant\WINDOWS
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-07-06 bis 2011-08-06  ))))))))))))))))))))))))))))))
.
.
2011-08-01 09:08 . 2011-08-01 09:08        --------        d-----w-        C:\spoolerlogs
2011-07-31 11:12 . 2011-07-31 11:13        --------        d-----w-        c:\programme\Audacity 1.3 Beta (Unicode)
2011-07-26 13:37 . 2011-07-26 13:37        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2011-07-24 12:36 . 2011-07-24 12:36        --------        d-----w-        c:\dokumente und einstellungen\Hauke\Anwendungsdaten\DVDVideoSoft
2011-07-24 12:03 . 2011-07-30 09:59        --------        d-----w-        c:\dokumente und einstellungen\Hauke\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2011-07-24 12:03 . 2011-07-24 12:03        --------        d-----w-        c:\programme\Conduit
2011-07-24 12:02 . 2011-07-24 12:03        --------        d-----w-        c:\dokumente und einstellungen\Hauke\Lokale Einstellungen\Anwendungsdaten\Conduit
2011-07-24 12:02 . 2011-07-24 12:02        --------        d-----w-        c:\programme\DVDVideoSoftTB
2011-07-24 12:02 . 2011-07-24 12:02        --------        d-----w-        c:\dokumente und einstellungen\Hauke\Lokale Einstellungen\Anwendungsdaten\Temp
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-06 17:52 . 2011-02-19 17:56        41272        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2011-02-19 17:56        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-06-25 16:54 . 2011-05-27 15:29        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-03-09 08:58 . 2011-04-15 16:27        1456640        ----a-w-        c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
2011-06-29 16:55 . 2011-05-15 09:57        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 10:47        31232        --sh--r-        c:\windows\system32\msfDX.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54        175912        ----a-w-        c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2011-01-17 14:54        175912        ----a-w-        c:\programme\DVDVideoSoftTB\prxtbDVDV.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]
"ICQ"="c:\programme\ICQ7.5\ICQ.exe" [2011-08-01 124480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 77824]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ7.5\\ICQ.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"3246:TCP"= 3246:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"2413:TCP"= 2413:TCP:Services
"3326:TCP"= 3326:TCP:Services
"5320:TCP"= 5320:TCP:Services
"9140:TCP"= 9140:TCP:Services
"4100:TCP"= 4100:TCP:Services
"4194:TCP"= 4194:TCP:Services
"9569:TCP"= 9569:TCP:Services
"6632:TCP"= 6632:TCP:Services
"3991:TCP"= 3991:TCP:Services
"2772:TCP"= 2772:TCP:Services
"3741:TCP"= 3741:TCP:Services
"2647:TCP"= 2647:TCP:Services
"5460:TCP"= 5460:TCP:Services
"2850:TCP"= 2850:TCP:Services
"2491:TCP"= 2491:TCP:Services
"2194:TCP"= 2194:TCP:Services
"5319:TCP"= 5319:TCP:Services
"9442:TCP"= 9442:TCP:Services
"4928:TCP"= 4928:TCP:Services
"9407:TCP"= 9407:TCP:Services
"3632:TCP"= 3632:TCP:Services
"6694:TCP"= 6694:TCP:Services
"2678:TCP"= 2678:TCP:Services
"9538:TCP"= 9538:TCP:Services
"3335:TCP"= 3335:TCP:Services
"5085:TCP"= 5085:TCP:Services
"3085:TCP"= 3085:TCP:Services
"4835:TCP"= 4835:TCP:Services
"5741:TCP"= 5741:TCP:Services
"5225:TCP"= 5225:TCP:Services
"5053:TCP"= 5053:TCP:Services
"4147:TCP"= 4147:TCP:Services
"2569:TCP"= 2569:TCP:Services
"9460:TCP"= 9460:TCP:Services
"7069:TCP"= 7069:TCP:Services
"9272:TCP"= 9272:TCP:Services
"3803:TCP"= 3803:TCP:Services
"3819:TCP"= 3819:TCP:Services
"3257:TCP"= 3257:TCP:Services
"3038:TCP"= 3038:TCP:Services
"3007:TCP"= 3007:TCP:Services
"4975:TCP"= 4975:TCP:Services
"7132:TCP"= 7132:TCP:Services
"4944:TCP"= 4944:TCP:Services
"5866:TCP"= 5866:TCP:Services
"3897:TCP"= 3897:TCP:Services
"5991:TCP"= 5991:TCP:Services
"4428:TCP"= 4428:TCP:Services
"3835:TCP"= 3835:TCP:Services
"3944:TCP"= 3944:TCP:Services
"4163:TCP"= 4163:TCP:Services
"4725:TCP"= 4725:TCP:Services
"5100:TCP"= 5100:TCP:Services
"7647:TCP"= 7647:TCP:Services
"9741:TCP"= 9741:TCP:Services
"6492:TCP"= 6492:TCP:Services
"7444:TCP"= 7444:TCP:Services
"4522:TCP"= 4522:TCP:Services
"9350:TCP"= 9350:TCP:Services
"6928:TCP"= 6928:TCP:Services
"2039:TCP"= 2039:TCP:Services
"8147:TCP"= 8147:TCP:Services
"5382:TCP"= 5382:TCP:Services
"6569:TCP"= 6569:TCP:Services
"2147:TCP"= 2147:TCP:Services
"3397:TCP"= 3397:TCP:Services
"2522:TCP"= 2522:TCP:Services
"4569:TCP"= 4569:TCP:Services
"3100:TCP"= 3100:TCP:Services
"4757:TCP"= 4757:TCP:Services
"4397:TCP"= 4397:TCP:Services
"5316:TCP"= 5316:TCP:Services
"1601:TCP"= 1601:TCP:Services
"4710:TCP"= 4710:TCP:Services
"5366:TCP"= 5366:TCP:Services
"4788:TCP"= 4788:TCP:Services
"6048:TCP"= 6048:TCP:Services
"5130:TCP"= 5130:TCP:Services
"2709:TCP"= 2709:TCP:Services
"3912:TCP"= 3912:TCP:Services
"4959:TCP"= 4959:TCP:Services
"6256:TCP"= 6256:TCP:Services
"7281:TCP"= 7281:TCP:Services
"8020:TCP"= 8020:TCP:Services
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02.02.2008 17:29 642560]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.07.2009 11:20 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [02.07.2008 13:22 247608]
S3 BELKIN;Belkin Wireless G USB Network Adapter;c:\windows\system32\drivers\BLKWGU.sys [12.07.2009 16:46 273280]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [23.04.2010 18:21 136704]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [02.02.2008 17:31 223128]
S4 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
S4 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube Download - c:\dokumente und einstellungen\Hauke\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Hauke\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\programme\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Hauke\Anwendungsdaten\Mozilla\Firefox\Profiles\z6rk1ub9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - DVDVideoSoftTB Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.2.6&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\programme\AskBarDis\bar\bin\askBar.dll
MSConfigStartUp-ICQ - c:\programme\ICQ7.4\ICQ.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-07 00:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1935655697-630328440-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:63,b2,65,21,3d,e0,d4,bb,56,14,a0,ec,56,e7,9a,0a,de,90,fa,9a,e6,54,56,
  21,89,6d,aa,9a,ad,d5,27,89,a6,5c,2e,41,67,1b,20,de,8b,4a,4d,69,ef,32,10,9b,\
"??"=hex:76,1f,c9,8c,f0,e9,00,63,34,03,41,31,54,46,d1,b9
.
[HKEY_USERS\S-1-5-21-1935655697-630328440-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:b4,25,b7,a6,98,33,29,b6,c3,f4,49,31,83,af,76,24,77,43,be,d3,78,
  55,e1,ab,20,7b,8f,ef,0b,0e,55,22,66,55,a7,07,15,67,60,c5,47,af,e5,bf,20,31,\
"rkeysecu"=hex:bb,4a,6a,18,90,8d,9b,d5,a9,94,cc,ab,2a,47,58,59
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-08-07  00:36:16
ComboFix-quarantined-files.txt  2011-08-06 22:35
.
Vor Suchlauf: 15 Verzeichnis(se), 39.301.582.848 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 39.354.675.200 Bytes frei
.
Current=3 Default=3 Failed=2 LastKnownGood=1 Sets=1,2,3,4
- - End Of File - - 93EC8FC3A226B10DB13BF528D98710C3
--- --- ---


aswMBR Log
Code:
aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-07 00:39:13
-----------------------------
00:39:13.265    OS Version: Windows 5.1.2600 Service Pack 3
00:39:13.265    Number of processors: 1 586 0x207
00:39:13.265    ComputerName: PC193  UserName: Hauke
00:39:15.031    Initialize success
00:39:33.156    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
00:39:33.156    Disk 0 Vendor: ST380022A 3.33 Size: 76319MB BusType: 3
00:39:35.171    Disk 0 MBR read successfully
00:39:35.171    Disk 0 MBR scan
00:39:35.171    Disk 0 Windows XP default MBR code
00:39:35.171    Disk 0 scanning sectors +156296385
00:39:35.218    Disk 0 malicious Win32:MBRoot code @ sector 156296388 !
00:39:35.234    Disk 0 PE file @ sector 156296410 !
00:39:35.281    Disk 0 scanning C:\WINDOWS\system32\drivers
00:39:55.046    Service scanning
00:39:57.343    Service sptd C:\WINDOWS\System32\Drivers\sptd.sys **LOCKED** 32
00:39:57.875    Modules scanning
00:40:22.093    Disk 0 trace - called modules:
00:40:22.109    ntoskrnl.exe >>UNKNOWN [0x8a34aa40]<<
00:40:22.109    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a2f9ab8]
00:40:22.109    \Driver\Disk[0x8a368340] -> IRP_MJ_CREATE -> 0x8a34aa40
00:40:22.109    Scan finished successfully
00:41:04.781    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Hauke\Desktop\MBR.dat"
00:41:04.781    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Hauke\Desktop\aswMBR.txt"
MBRCheck Log
Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Home Edition
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x0000001d

Kernel Drivers (total 130):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x806EE000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF7506000 sptd.sys
  0xF7989000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xF74EE000 \WINDOWS\System32\Drivers\SPTD0045.SYS
  0xF74BF000 ACPI.sys
  0xF74AE000 pci.sys
  0xF75F7000 isapnp.sys
  0xF7607000 ohci1394.sys
  0xF7617000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7A4F000 pciide.sys
  0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7627000 MountMgr.sys
  0xF7878000 ftdisk.sys
  0xF770F000 PartMgr.sys
  0xF7637000 VolSnap.sys
  0xF7860000 atapi.sys
  0xF7647000 disk.sys
  0xF7657000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7840000 fltmgr.sys
  0xF782E000 sr.sys
  0xF7667000 PxHelp20.sys
  0xBAFE9000 KSecDD.sys
  0xBAFD6000 WudfPf.sys
  0xBAF49000 Ntfs.sys
  0xBAF1C000 NDIS.sys
  0xF7677000 SISAGPX.sys
  0xBAE62000 Mup.sys
  0xF76A7000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF76B7000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xBAC43000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xBAC2F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF76C7000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7747000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF7757000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7767000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF76D7000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7943000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xBAC1B000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBAE3E000 \SystemRoot\system32\DRIVERS\gameenum.sys
  0xF7AAE000 \SystemRoot\system32\drivers\msmpu401.sys
  0xBABF7000 \SystemRoot\system32\drivers\portcls.sys
  0xF76E7000 \SystemRoot\system32\drivers\drmk.sys
  0xBABD4000 \SystemRoot\system32\drivers\ks.sys
  0xF76F7000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF749E000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xBAE2E000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
  0xF748E000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA8DA000 \SystemRoot\system32\drivers\ALCXWDM.SYS
  0xF7787000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xBA8B6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF77B7000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF77C7000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
  0xF7A56000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF747E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBAE1A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xBA89F000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF746E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF745E000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF780F000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xBA88E000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF744E000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7737000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF774F000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF743E000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF799F000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xBA830000 \SystemRoot\system32\DRIVERS\update.sys
  0xBADFA000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF742E000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF77FF000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xBAEEC000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF79A5000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF79A9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7A9B000 \SystemRoot\System32\Drivers\Null.SYS
  0xF79AD000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF773F000 \SystemRoot\System32\drivers\vga.sys
  0xF79B1000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79B5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF776F000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF777F000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF794B000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB26BB000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB2662000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB263A000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB2614000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xBAECC000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB25CA000 \SystemRoot\System32\drivers\afd.sys
  0xBAEBC000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xBAEAC000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF77AF000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB259F000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB252F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBAE9C000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB2513000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF79C5000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xBABB4000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB24FB000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF79CF000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xBAB24000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF77A7000 \SystemRoot\System32\watchdog.sys
  0xBF9C3000 \SystemRoot\System32\drivers\dxg.sys
  0xF7A60000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D5000 \SystemRoot\System32\ati2dvag.dll
  0xBFA18000 \SystemRoot\System32\ati2cqag.dll
  0xBFA5D000 \SystemRoot\System32\atikvmag.dll
  0xBFA93000 \SystemRoot\System32\ati3duag.dll
  0xBFD25000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB03A7000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB029B000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB0337000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0xB0078000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF79E5000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xAFF45000 \SystemRoot\system32\DRIVERS\atksgt.sys
  0xAFF08000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB00FD000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB26CE000 \SystemRoot\system32\DRIVERS\lirsgt.sys
  0xAFC4F000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB26F6000 \SystemRoot\System32\Drivers\TDTCP.SYS
  0xAFC04000 \SystemRoot\System32\Drivers\RDPWD.SYS
  0xAF993000 \SystemRoot\System32\Drivers\HTTP.sys
  0xF79B9000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
  0xF77E7000 \??\C:\DOKUME~1\Hauke\LOKALE~1\Temp\catchme.sys
  0xAF419000 \SystemRoot\system32\drivers\kmixer.sys
  0xAFE4D000 \??\C:\DOKUME~1\Hauke\LOKALE~1\Temp\aswMBR.sys
  0xAF3F5000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 42):
      0 System Idle Process
      4 System
    536 C:\WINDOWS\system32\smss.exe
    600 csrss.exe
    632 C:\WINDOWS\system32\winlogon.exe
    684 C:\WINDOWS\system32\services.exe
    700 C:\WINDOWS\system32\lsass.exe
    880 C:\WINDOWS\system32\ati2evxx.exe
    904 C:\WINDOWS\system32\svchost.exe
    992 svchost.exe
    1040 C:\WINDOWS\system32\svchost.exe
    1080 C:\WINDOWS\system32\svchost.exe
    1208 svchost.exe
    1244 svchost.exe
    1368 C:\WINDOWS\system32\spoolsv.exe
    1404 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1448 svchost.exe
    1508 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1568 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    1608 svchost.exe
    1648 C:\WINDOWS\system32\ati2evxx.exe
    1644 C:\Programme\ICQ6Toolbar\ICQ Service.exe
    1808 C:\Programme\Canon\IJPLM\ijplmsvc.exe
    1860 C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    1872 C:\WINDOWS\system32\svchost.exe
    560 C:\WINDOWS\system32\wscntfy.exe
    1076 C:\WINDOWS\SOUNDMAN.EXE
    1140 C:\Programme\iTunes\iTunesHelper.exe
    1504 C:\Programme\Canon\MyPrinter\BJMYPRT.EXE
    1544 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    1540 C:\WINDOWS\system32\ctfmon.exe
    1564 C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
    988 C:\Programme\ICQ7.5\ICQ.exe
    2312 C:\Programme\iPod\bin\iPodService.exe
    2436 C:\Programme\PC Connectivity Solution\ServiceLayer.exe
    2576 alg.exe
    2620 C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
    2652 C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
    348 C:\WINDOWS\system32\cmd.exe
    464 C:\WINDOWS\system32\notepad.exe
    3108 C:\WINDOWS\explorer.exe
    3688 C:\Dokumente und Einstellungen\Hauke\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: ST380022A, Rev: 3.33   

      Size  Device Name          MBR Status
  --------------------------------------------
    74 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Swisstreasure 07.08.2011 13:45
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
  • Schließe alle laufenden Programme.
  • Trenne dich von Internet.
  • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
    Mache während dem Scan nichts am Rechner
    1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
    2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
      Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
  • Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
  • Bitte poste mir den Inhalt hier in deinen Thread.
Bebilderte Anleitung zur Benutzung von TDSSKiller.

Mic4 07.08.2011 20:47
TDSS hat nichts gefunden
Code:
2011/08/07 21:30:33.0328 3400        TDSS rootkit removing tool 2.5.14.0 Aug  5 2011 16:09:29
2011/08/07 21:30:33.0359 3400        ================================================================================
2011/08/07 21:30:33.0359 3400        SystemInfo:
2011/08/07 21:30:33.0359 3400       
2011/08/07 21:30:33.0359 3400        OS Version: 5.1.2600 ServicePack: 3.0
2011/08/07 21:30:33.0359 3400        Product type: Workstation
2011/08/07 21:30:33.0359 3400        ComputerName: PC193
2011/08/07 21:30:33.0375 3400        UserName: Hauke
2011/08/07 21:30:33.0375 3400        Windows directory: C:\WINDOWS
2011/08/07 21:30:33.0375 3400        System windows directory: C:\WINDOWS
2011/08/07 21:30:33.0375 3400        Processor architecture: Intel x86
2011/08/07 21:30:33.0375 3400        Number of processors: 1
2011/08/07 21:30:33.0375 3400        Page size: 0x1000
2011/08/07 21:30:33.0375 3400        Boot type: Normal boot
2011/08/07 21:30:33.0375 3400        ================================================================================
2011/08/07 21:30:35.0000 3400        Initialize success
2011/08/07 21:30:40.0937 3424        ================================================================================
2011/08/07 21:30:40.0937 3424        Scan started
2011/08/07 21:30:40.0937 3424        Mode: Manual;
2011/08/07 21:30:40.0937 3424        ================================================================================
2011/08/07 21:30:41.0734 3424        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/08/07 21:30:41.0875 3424        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/08/07 21:30:42.0031 3424        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/08/07 21:30:42.0156 3424        AFD            (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/08/07 21:30:42.0500 3424        ALCXWDM        (4e0aca5290b2966f24c45250a56c2da1) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/08/07 21:30:42.0812 3424        Arp1394        (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/08/07 21:30:43.0062 3424        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/08/07 21:30:43.0171 3424        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/08/07 21:30:43.0390 3424        ati2mtag        (492bd2a5f65f218d4ede5764a3bb67e9) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/08/07 21:30:43.0593 3424        atksgt          (6e996cf8459a2594e0e9609d0e34d41f) C:\WINDOWS\system32\DRIVERS\atksgt.sys
2011/08/07 21:30:43.0734 3424        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/08/07 21:30:43.0828 3424        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/08/07 21:30:43.0921 3424        avgio          (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/08/07 21:30:44.0031 3424        avgntflt        (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/08/07 21:30:44.0125 3424        avipbb          (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/08/07 21:30:44.0250 3424        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/08/07 21:30:44.0312 3424        BELKIN          (bb3eb3535856adbead55a8b932f69d25) C:\WINDOWS\system32\DRIVERS\BLKWGU.sys
2011/08/07 21:30:44.0453 3424        BthEnum        (b279426e3c0c344893ed78a613a73bde) C:\WINDOWS\system32\DRIVERS\BthEnum.sys
2011/08/07 21:30:44.0593 3424        BTHMODEM        (fca6f069597b62d42495191ace3fc6c1) C:\WINDOWS\system32\DRIVERS\bthmodem.sys
2011/08/07 21:30:44.0703 3424        BthPan          (80602b8746d3738f5886ce3d67ef06b6) C:\WINDOWS\system32\DRIVERS\bthpan.sys
2011/08/07 21:30:44.0828 3424        BTHPORT        (592e1cedbe314d0ef184dc6f46141e76) C:\WINDOWS\system32\Drivers\BTHport.sys
2011/08/07 21:30:44.0953 3424        BTHUSB          (61364cd71ef63b0f038b7e9df00f1efa) C:\WINDOWS\system32\Drivers\BTHUSB.sys
2011/08/07 21:30:45.0203 3424        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/08/07 21:30:45.0359 3424        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/08/07 21:30:45.0468 3424        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/08/07 21:30:45.0609 3424        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/08/07 21:30:45.0984 3424        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/08/07 21:30:46.0140 3424        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/08/07 21:30:46.0312 3424        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/08/07 21:30:46.0421 3424        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/08/07 21:30:46.0546 3424        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/08/07 21:30:46.0750 3424        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/08/07 21:30:46.0906 3424        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/08/07 21:30:47.0031 3424        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/08/07 21:30:47.0125 3424        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/08/07 21:30:47.0187 3424        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/08/07 21:30:47.0296 3424        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/08/07 21:30:47.0453 3424        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/08/07 21:30:47.0531 3424        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/08/07 21:30:47.0656 3424        gameenum        (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/08/07 21:30:47.0734 3424        GEARAspiWDM    (5dc17164f66380cbfefd895c18467773) C:\WINDOWS\system32\Drivers\GEARAspiWDM.sys
2011/08/07 21:30:47.0828 3424        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/08/07 21:30:48.0000 3424        HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/08/07 21:30:48.0234 3424        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/08/07 21:30:48.0359 3424        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/08/07 21:30:48.0562 3424        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/08/07 21:30:48.0703 3424        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/08/07 21:30:48.0781 3424        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/08/07 21:30:48.0890 3424        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/08/07 21:30:49.0015 3424        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/08/07 21:30:49.0125 3424        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/08/07 21:30:49.0250 3424        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/08/07 21:30:49.0390 3424        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/08/07 21:30:49.0468 3424        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/08/07 21:30:49.0609 3424        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/08/07 21:30:49.0718 3424        KSecDD          (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/08/07 21:30:49.0921 3424        lirsgt          (975b6cf65f44e95883f3855bae8cecaf) C:\WINDOWS\system32\DRIVERS\lirsgt.sys
2011/08/07 21:30:50.0046 3424        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/08/07 21:30:50.0156 3424        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/08/07 21:30:50.0265 3424        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/08/07 21:30:50.0375 3424        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/08/07 21:30:50.0531 3424        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/08/07 21:30:50.0718 3424        MRxSmb          (60ae98742484e7ab80c3c1450e708148) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/08/07 21:30:50.0875 3424        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/08/07 21:30:50.0968 3424        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/08/07 21:30:51.0078 3424        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/08/07 21:30:51.0421 3424        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/08/07 21:30:51.0562 3424        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/08/07 21:30:51.0687 3424        ms_mpu401      (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2011/08/07 21:30:51.0781 3424        Mup            (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/08/07 21:30:51.0890 3424        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/08/07 21:30:51.0984 3424        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/08/07 21:30:52.0093 3424        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/08/07 21:30:52.0187 3424        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/08/07 21:30:52.0296 3424        NDProxy        (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/08/07 21:30:52.0437 3424        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/08/07 21:30:52.0562 3424        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/08/07 21:30:52.0703 3424        NIC1394        (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/08/07 21:30:52.0812 3424        nmwcd          (357ddb51e03cae598c096d95497373d0) C:\WINDOWS\system32\drivers\ccdcmb.sys
2011/08/07 21:30:52.0921 3424        nmwcdc          (7cd443f9d36c80e152fadb274089577a) C:\WINDOWS\system32\drivers\ccdcmbo.sys
2011/08/07 21:30:53.0015 3424        nmwcdnsu        (02120406f27f5895dfce4c640e6ee237) C:\WINDOWS\system32\drivers\nmwcdnsu.sys
2011/08/07 21:30:53.0125 3424        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/08/07 21:30:53.0250 3424        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/08/07 21:30:53.0375 3424        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/08/07 21:30:53.0453 3424        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/08/07 21:30:53.0625 3424        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/08/07 21:30:53.0765 3424        ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/08/07 21:30:53.0859 3424        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/08/07 21:30:53.0968 3424        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/08/07 21:30:54.0078 3424        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/08/07 21:30:54.0171 3424        PCANDIS5        (2f9806b52cb3748b1e49222744b28e3c) C:\WINDOWS\system32\PCANDIS5.SYS
2011/08/07 21:30:54.0312 3424        pccsmcfd        (fd2041e9ba03db7764b2248f02475079) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/08/07 21:30:54.0406 3424        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/08/07 21:30:54.0562 3424        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/08/07 21:30:54.0656 3424        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/08/07 21:30:55.0062 3424        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/08/07 21:30:55.0203 3424        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/08/07 21:30:55.0328 3424        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/08/07 21:30:55.0421 3424        PxHelp20        (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/08/07 21:30:55.0750 3424        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/08/07 21:30:55.0859 3424        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/08/07 21:30:55.0968 3424        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/08/07 21:30:56.0062 3424        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/08/07 21:30:56.0171 3424        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/08/07 21:30:56.0265 3424        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/08/07 21:30:56.0359 3424        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/08/07 21:30:56.0468 3424        redbook        (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/08/07 21:30:56.0640 3424        RFCOMM          (851c30df2807fcfa21e4c681a7d6440e) C:\WINDOWS\system32\DRIVERS\rfcomm.sys
2011/08/07 21:30:56.0796 3424        rspndr          (a3b23fb3f295694091f51865f98588b2) C:\WINDOWS\system32\DRIVERS\rspndr.sys
2011/08/07 21:30:56.0968 3424        rtl8139        (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/08/07 21:30:57.0156 3424        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/08/07 21:30:57.0265 3424        serenum        (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/08/07 21:30:57.0406 3424        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/08/07 21:30:57.0546 3424        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/08/07 21:30:57.0734 3424        sisagp          (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2011/08/07 21:30:57.0906 3424        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/08/07 21:30:58.0062 3424        sptd            (2831986cf9ba7cdf41568b062682657d) C:\WINDOWS\system32\Drivers\sptd.sys
2011/08/07 21:30:58.0062 3424        Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 2831986cf9ba7cdf41568b062682657d
2011/08/07 21:30:58.0093 3424        sptd - detected LockedFile.Multi.Generic (1)
2011/08/07 21:30:58.0187 3424        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/08/07 21:30:58.0296 3424        Srv            (3bb03f2ba89d2be417206c373d2af17c) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/08/07 21:30:58.0453 3424        ssmdrv          (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/08/07 21:30:58.0578 3424        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/08/07 21:30:58.0640 3424        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/08/07 21:30:58.0906 3424        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/08/07 21:30:59.0046 3424        Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/08/07 21:30:59.0171 3424        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/08/07 21:30:59.0281 3424        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/08/07 21:30:59.0375 3424        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/08/07 21:30:59.0953 3424        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/08/07 21:31:00.0125 3424        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/08/07 21:31:00.0265 3424        upperdev        (15629e4d65f97ab5432d6d9597cf6a33) C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys
2011/08/07 21:31:00.0390 3424        USBAAPL        (f340199e8cb097e1acd58a967c665919) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/08/07 21:31:00.0484 3424        usbccgp        (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/08/07 21:31:00.0656 3424        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/08/07 21:31:00.0796 3424        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/08/07 21:31:00.0937 3424        usbohci        (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/08/07 21:31:01.0062 3424        usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/08/07 21:31:01.0156 3424        usbscan        (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/08/07 21:31:01.0265 3424        usbser          (1c888b000c2f9492f4b15b5b6b84873e) C:\WINDOWS\system32\drivers\usbser.sys
2011/08/07 21:31:01.0375 3424        UsbserFilt      (5c17e6a11aa8be53f79fd364ba19f0ce) C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys
2011/08/07 21:31:01.0484 3424        USBSTOR        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/08/07 21:31:01.0609 3424        vaxscsi        (92cebc2bc7be2c8d49391b365569f306) C:\WINDOWS\System32\Drivers\vaxscsi.sys
2011/08/07 21:31:01.0750 3424        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/08/07 21:31:01.0906 3424        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/08/07 21:31:02.0015 3424        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/08/07 21:31:02.0140 3424        wceusbsh        (46a247f6617526afe38b6f12f5512120) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
2011/08/07 21:31:02.0250 3424        Wdf01000        (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/08/07 21:31:02.0484 3424        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/08/07 21:31:02.0656 3424        WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/08/07 21:31:02.0765 3424        WudfPf          (6ff66513d372d479ef1810223c8d20ce) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/08/07 21:31:02.0875 3424        WudfRd          (ac13cb789d93412106b0fb6c7eb2bcb6) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/08/07 21:31:03.0140 3424        MBR (0x1B8)    (8f558eb6672622401da993e1e865c861) \Device\Harddisk0\DR0
2011/08/07 21:31:03.0281 3424        Boot (0x1200)  (22ec678784f549ba2c3aee12daac077c) \Device\Harddisk0\DR0\Partition0
2011/08/07 21:31:03.0296 3424        ================================================================================
2011/08/07 21:31:03.0296 3424        Scan finished
2011/08/07 21:31:03.0296 3424        ================================================================================
2011/08/07 21:31:03.0328 3416        Detected object count: 1
2011/08/07 21:31:03.0328 3416        Actual detected object count: 1
2011/08/07 21:31:46.0468 3416        LockedFile.Multi.Generic(sptd) - User select action: Skip

Swisstreasure 08.08.2011 12:37
Bestehen noch Probleme?

Mic4 08.08.2011 20:25
Vielen Dank für deine Hilfe, ich denke, wir sollten den Thread jetzt beenden.
Ich denke/hoffe dass die Aktionen in der Wiederherstellungskonsole den Sinowal unwirksam gemacht hat.
Zitat:
Bestehen noch Probleme?
Der Benutzer des PCs hat "eigentlich" nie Probleme gehabt, ausser dass sein PC vermutlich permanent versucht hat, SPAM zu versenden.
Er konnte mit dem PC normal arbeiten.

Kurze Zusammenfassung

Vor einigen Monaten erhielt der Besitzer des PCs, genauer sein Vater als Anschlussinhaber eine Warnung der Telekom, dass
"Angriffe von seinen Anschluss aus" durchgeführt werden.
Eine Komplett Suche mit AVIRA und MalwareBytes Anti Malware lieferten keine Ergebnisse - wie auch, wenn ein aktives Rootkit mir zeigte, was ich sehen sollte.

Der Grund meiner Anfrage war, weil die Telekom vor einigen Tagen erneut eine Warnung gesendet hatte.
Ich habe dort einmal nachgefragt, erhielt einen Hinweis auf Torpig und Mebroot.

Eine Überprüfung beider PCs mit GMER lieferte den Sinowal auf einem der PCs.
Ich denke/hoffe dass die Aktionen in der Wiederherstellungskonsole den Sinowal unwirksam gemacht hat.

Ich werde erfahren, wenn erneut eine Warnung der Telekom eintrifft.

Michael

Swisstreasure 09.08.2011 13:00
Logfile ist sauber :daumenhoc

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Systemwiederherstellung mit OTL leeren

Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
  • Starte die OTL.exe.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Kopiere folgendes Skript:
Code:
:Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[reboot]


Schritt 2

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 3

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 4

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
  • SpywareBlaster
    Eine kurze Einführung findest du Hier

  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
    Hinweis: MBAM ersetzt keine Anti- Viren- Software.

  • Temp File Cleaner
    TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
    Ausserdem hilft es Deinen Computer zu beschleunigen.
    Du kannst Dir TFC ( by OldTimer ) hier downloaden.

  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.

  • Halte Dein System aktuell
    Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
    Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
    Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.

  • Halte Deine Software aktuell
    Der einfachste Weg dafür ist der Secunia Online Software.


Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.

  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Mic4 09.08.2011 21:05
:dankeschoen: Vielen Dank für die Tipps, dieser Thread kann jetzt beendet werden.
weiterhin viel Erfolg bei der Malware Beseitigung,
Michael


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19