Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Flashpla.exe Trojaner, ja oder nein? (https://www.trojaner-board.de/124471-flashpla-exe-trojaner.html)

cosinus 25.09.2012 10:44
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

dertb 25.09.2012 11:24
Hallo cosinus,

Bitte nicht falsch verstehen, ich bin dir wirklich sehr dankbar für deine Hilfe, ich wollte kurz nachfragen ob du meinst daß das wirklich notwendig ist? So wie sich das anhört greift das Programm ziemlich tief ein.

cosinus 25.09.2012 13:47
Ja ich möchte mehr Infos haben - du kannst es aber auch sein lassen und wir kommen nicht wirklich weiter :wtf:

dertb 25.09.2012 15:18
Hallo, hier nun das ComboFix-log:


[CODE]
Combofix Logfile:
Code:
ComboFix 12-09-24.03 - ***_2 25.09.2012  15:51:51.1.2 - x86
Microsoft Windows 7 Home Premium  6.1.7601.1.1252.49.1031.18.2942.2169 [GMT 2:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-08-25 bis 2012-09-25  ))))))))))))))))))))))))))))))
.
.
2012-09-25 13:59 . 2012-09-25 13:59        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-09-25 13:23 . 2012-08-30 08:17        6980552        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{B601C541-989E-486C-AD5D-DB26AD709149}\mpengine.dll
2012-09-22 23:40 . 2012-09-22 23:40        --------        d-----w-        c:\users\***_2\AppData\Local\ElevatedDiagnostics
2012-09-22 23:39 . 2009-06-22 16:58        89600        ----a-w-        c:\windows\system32\Spool\prtprocs\w32x86\HPZPPLHN.DLL
2012-09-22 23:28 . 2012-09-22 23:28        --------        d-----w-        c:\users\***\AppData\Roaming\Softland
2012-09-12 20:24 . 2012-08-22 17:16        712048        ----a-w-        c:\windows\system32\drivers\ndis.sys
2012-09-12 20:24 . 2012-07-04 19:45        33280        ----a-w-        c:\windows\system32\drivers\RNDISMP.sys
2012-09-12 20:24 . 2012-08-22 17:16        1292144        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2012-09-12 20:24 . 2012-08-22 17:16        240496        ----a-w-        c:\windows\system32\drivers\netio.sys
2012-09-12 20:24 . 2012-08-22 17:16        187760        ----a-w-        c:\windows\system32\drivers\FWPKCLNT.SYS
2012-09-12 20:24 . 2012-08-02 16:57        490496        ----a-w-        c:\windows\system32\d3d10level9.dll
2012-08-28 18:58 . 2012-09-03 23:43        --------        d-----w-        c:\users\***\AppData\Roaming\HpUpdate
2012-08-27 23:00 . 2012-08-27 23:03        --------        d-----w-        c:\users\***_2\AppData\Roaming\HpUpdate
2012-08-27 23:00 . 2012-08-27 23:00        --------        d-----w-        c:\windows\Hewlett-Packard
2012-08-27 19:56 . 2012-08-27 19:56        --------        d-----w-        c:\users\***\AppData\Local\Diagnostics
2012-08-27 19:29 . 2012-08-27 19:29        --------        d-----w-        c:\users\***_2\AppData\Roaming\Softland
2012-08-27 19:29 . 2012-05-15 12:06        23392        ----a-w-        c:\windows\system32\dopdfmn7.dll
2012-08-27 19:29 . 2012-05-15 12:06        20832        ----a-w-        c:\windows\system32\dopdfmi7.dll
2012-08-27 19:29 . 2012-08-27 19:29        --------        d-----w-        c:\program files\Softland
2012-08-27 03:08 . 2012-08-27 03:08        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes
2012-08-27 03:02 . 2012-09-23 09:00        --------        d-----w-        c:\program files\Mozilla Maintenance Service
2012-08-27 02:22 . 2012-08-27 02:22        --------        d-----w-        c:\users\***_2\AppData\Local\Macromedia
2012-08-27 01:22 . 2012-08-27 01:22        --------        d-----w-        c:\users\***_2\AppData\Roaming\Malwarebytes
2012-08-27 01:22 . 2012-08-27 01:22        --------        d-----w-        c:\programdata\Malwarebytes
2012-08-27 01:22 . 2012-09-07 15:04        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-08-27 01:22 . 2012-09-10 23:08        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2012-08-27 00:33 . 2012-08-27 00:33        --------        d-----w-        c:\program files\Duden
2012-08-26 23:44 . 2012-08-26 23:44        --------        d-----w-        c:\users\***\AppData\Roaming\Duden
2012-08-26 22:51 . 2012-08-26 22:52        --------        d-----w-        c:\programdata\Duden
2012-08-26 22:49 . 2012-08-26 22:53        --------        d-----w-        c:\users\***_2\AppData\Roaming\Duden
2012-08-26 21:43 . 2012-09-04 23:50        --------        d-----w-        c:\users\***\dwhelper
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-28 22:06 . 2012-08-21 18:44        73416        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-28 22:06 . 2012-08-21 18:44        696520        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-08-21 09:13 . 2012-08-18 17:04        355632        ----a-w-        c:\windows\system32\drivers\aswSP.sys
2012-08-21 09:13 . 2012-08-18 17:04        54232        ----a-w-        c:\windows\system32\drivers\aswTdi.sys
2012-08-21 09:13 . 2012-08-18 17:04        729752        ----a-w-        c:\windows\system32\drivers\aswSnx.sys
2012-08-21 09:13 . 2012-08-18 17:04        44784        ----a-w-        c:\windows\system32\drivers\aswRdr2.sys
2012-08-21 09:13 . 2012-08-18 17:04        58680        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys
2012-08-21 09:13 . 2012-08-18 17:04        21256        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys
2012-08-21 09:12 . 2012-08-18 17:03        41224        ----a-w-        c:\windows\avastSS.scr
2012-08-21 09:12 . 2012-08-18 17:03        227648        ----a-w-        c:\windows\system32\aswBoot.exe
2012-08-19 10:34 . 2012-08-19 10:34        163048        ----a-w-        c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10141.bin
2012-08-18 19:02 . 2012-08-18 19:02        86528        ----a-w-        c:\windows\system32\iesysprep.dll
2012-08-18 19:02 . 2012-08-18 19:02        76800        ----a-w-        c:\windows\system32\SetIEInstalledDate.exe
2012-08-18 19:02 . 2012-08-18 19:02        74752        ----a-w-        c:\windows\system32\RegisterIEPKEYs.exe
2012-08-18 19:02 . 2012-08-18 19:02        74752        ----a-w-        c:\windows\system32\iesetup.dll
2012-08-18 19:02 . 2012-08-18 19:02        63488        ----a-w-        c:\windows\system32\tdc.ocx
2012-08-18 19:02 . 2012-08-18 19:02        48640        ----a-w-        c:\windows\system32\mshtmler.dll
2012-08-18 19:02 . 2012-08-18 19:02        367104        ----a-w-        c:\windows\system32\html.iec
2012-08-18 19:02 . 2012-08-18 19:02        161792        ----a-w-        c:\windows\system32\msls31.dll
2012-08-18 19:02 . 2012-08-18 19:02        110592        ----a-w-        c:\windows\system32\IEAdvpack.dll
2012-08-18 19:02 . 2012-08-18 19:02        35840        ----a-w-        c:\windows\system32\imgutil.dll
2012-08-18 19:02 . 2012-08-18 19:02        23552        ----a-w-        c:\windows\system32\licmgr10.dll
2012-08-18 19:02 . 2012-08-18 19:02        152064        ----a-w-        c:\windows\system32\wextract.exe
2012-08-18 19:02 . 2012-08-18 19:02        150528        ----a-w-        c:\windows\system32\iexpress.exe
2012-08-18 19:02 . 2012-08-18 19:02        11776        ----a-w-        c:\windows\system32\mshta.exe
2012-08-18 19:02 . 2012-08-18 19:02        101888        ----a-w-        c:\windows\system32\admparse.dll
2012-08-18 16:51 . 2009-07-14 02:05        152576        ----a-w-        c:\windows\system32\msclmd.dll
2012-07-18 17:47 . 2012-08-18 18:04        2345984        ----a-w-        c:\windows\system32\win32k.sys
2012-07-06 19:23 . 2012-08-19 20:33        393728        ----a-w-        c:\windows\system32\drivers\bthport.sys
2012-07-04 21:14 . 2012-08-18 18:04        41984        ----a-w-        c:\windows\system32\browcli.dll
2012-07-04 21:14 . 2012-08-18 18:04        102912        ----a-w-        c:\windows\system32\browser.dll
2012-09-21 16:50 . 2012-09-21 16:50        266720        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-08-21 09:12        121528        ----a-w-        c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-08-21 4282728]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-05 7703072]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-06-18 1537320]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-08-24 1190920]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Duden Korrektor SysTray"="c:\program files\Duden\Duden-Rechtschreibprüfung\DKTray.exe" [2011-07-04 332432]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [x]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [x]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S3 k57nd60x;Broadcom NetLink (TM)-Gigabit-Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService        REG_MULTI_SZ          HPSLPSVC
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\6de2ed6f-0b56-4d57-b0f0-551ec8cbb27f]
2011-07-01 09:38        153232        ---ha-w-        c:\programdata\Duden\DKReg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{07e84f41-11d5-4615-aaf6-368df0762b41}]
2011-07-01 09:38        153232        ---ha-w-        c:\programdata\Duden\DKReg.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-24 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-21 22:06]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Free YouTube to MP3 Converter - c:\users\***_2\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 129.69.252.252 129.69.252.212 129.69.252.202 129.69.252.232
FF - ProfilePath - c:\users\***_2\AppData\Roaming\Mozilla\Firefox\Profiles\ve4g762j.default\
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-09-25  16:02:36
ComboFix-quarantined-files.txt  2012-09-25 14:02
.
Vor Suchlauf: 7 Verzeichnis(se), 96.177.336.320 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 95.694.983.168 Bytes frei
.
- - End Of File - - 566195F6A2FD9DFB7D4BA4897003AF12
--- --- ---

--- --- ---
[code]

cosinus 25.09.2012 18:16
Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

dertb 25.09.2012 19:38
Hier nun das gmer-log:

[code]
GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-09-25 19:47:38
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\00000057 WDC_WD32 rev.11.0
Running: 271kulpl.exe; Driver: C:\Users\JOHANN~1\AppData\Local\Temp\agldrkow.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwAddBootEntry [0x8F43D708]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                                        ZwAllocateVirtualMemory [0x90D6F7C8]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwAssignProcessToJobObject [0x8F43E11C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwCreateEvent [0x8F448F28]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwCreateEventPair [0x8F448F74]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwCreateIoCompletion [0x8F4490F6]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwCreateMutant [0x8F448E96]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                                        ZwCreateSection [0x90D6FBBA]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwCreateSemaphore [0x8F448EDE]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwCreateThread [0x8F43E310]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwCreateThreadEx [0x8F43E498]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwCreateTimer [0x8F4490B0]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwDebugActiveProcess [0x8F43EA9C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwDeleteBootEntry [0x8F43D756]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                                        ZwFreeVirtualMemory [0x90D6F8AC]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwLoadDriver [0x8F43D3BE]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwModifyBootEntry [0x8F43D7A4]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwNotifyChangeKey [0x8F442456]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwNotifyChangeMultipleKeys [0x8F43F464]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwOpenEvent [0x8F448F52]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwOpenEventPair [0x8F448F96]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwOpenIoCompletion [0x8F44911A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwOpenMutant [0x8F448EBC]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwOpenSection [0x8F44903A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwOpenSemaphore [0x8F448F06]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwOpenTimer [0x8F4490D4]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                                        ZwProtectVirtualMemory [0x90D6FA2C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwQueryObject [0x8F43F330]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwQueueApcThreadEx [0x8F43F06C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwSetBootEntryOrder [0x8F43D7F2]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwSetBootOptions [0x8F43D840]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwSetContextThread [0x8F43E91C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwSetSystemInformation [0x8F43D448]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwSetSystemPowerState [0x8F43D5F8]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwShutdownSystem [0x8F43D59E]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwSuspendProcess [0x8F43EBFE]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwSuspendThread [0x8F43ED5A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwSystemDebugControl [0x8F43D668]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                                        ZwTerminateProcess [0x90D6FAF6]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwTerminateThread [0x8F43E794]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                                                        ZwVdmControl [0x8F43D88E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                                        ZwWriteVirtualMemory [0x90D6F962]

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                                        ZwCreateProcessEx [0x90D87966]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                                        ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwRollbackEnlistment + 140D                                                                                                                                      82C583C9 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                                                                        82C91D52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text          ntkrnlpa.exe!KeRemoveQueueEx + 10CB                                                                                                                                          82C98D80 4 Bytes  [08, D7, 43, 8F]
.text          ntkrnlpa.exe!KeRemoveQueueEx + 10F3                                                                                                                                          82C98DA8 4 Bytes  [C8, F7, D6, 90] {ENTER 0xd6f7, 0x90}
.text          ntkrnlpa.exe!KeRemoveQueueEx + 1153                                                                                                                                          82C98E08 4 Bytes  [1C, E1, 43, 8F]
.text          ntkrnlpa.exe!KeRemoveQueueEx + 11A7                                                                                                                                          82C98E5C 8 Bytes  [28, 8F, 44, 8F, 74, 8F, 44, ...]
.text          ntkrnlpa.exe!KeRemoveQueueEx + 11B3                                                                                                                                          82C98E68 4 Bytes  [F6, 90, 44, 8F]
.text          ...                                                                                                                                                                         
PAGE            ntkrnlpa.exe!ObMakeTemporaryObject                                                                                                                                            82E25C64 5 Bytes  JMP 90D84806 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE            ntkrnlpa.exe!ObInsertObject + 27                                                                                                                                              82E3E290 5 Bytes  JMP 90D86338 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE            ntkrnlpa.exe!ZwReplyWaitReceivePortEx + 108                                                                                                                                  82E533D7 4 Bytes  CALL 8F43FB07 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
PAGE            ntkrnlpa.exe!ZwAlpcSendWaitReceivePort + 122                                                                                                                                  82E6D1E0 4 Bytes  CALL 8F43FB1D \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                                                                                                82EF711A 7 Bytes  JMP 90D8796A \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
.text          C:\Windows\system32\DRIVERS\atikmdag.sys                                                                                                                                      section is writeable [0x91022000, 0x2D5378, 0xE8000020]
.text          kernel32.dll!GetBinaryTypeW + 70                                                                                                                                              75F369F4 1 Byte  [62]

---- User code sections - GMER 1.0.15 ----

.text          C:\Windows\system32\csrss.exe[452] kernel32.dll!GetBinaryTypeW + 70                                                                                                          75F369F4 1 Byte  [62]
.text          C:\Windows\system32\wininit.exe[524] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]
.text          C:\Windows\system32\csrss.exe[532] kernel32.dll!GetBinaryTypeW + 70                                                                                                          75F369F4 1 Byte  [62]
.text          C:\Windows\system32\wbem\wmiprvse.exe[564] kernel32.dll!GetBinaryTypeW + 70                                                                                                  75F369F4 1 Byte  [62]
.text          ...                                                                                                                                                                         
.text          C:\Windows\system32\DRIVERS\xaudio.exe[1064] ntdll.dll!LdrUnloadDll                                                                                                          7746C86E 5 Bytes  JMP 001503FC
.text          C:\Windows\system32\DRIVERS\xaudio.exe[1064] ntdll.dll!LdrLoadDll                                                                                                            7747223E 5 Bytes  JMP 001501F8
.text          C:\Windows\system32\DRIVERS\xaudio.exe[1064] kernel32.dll!GetBinaryTypeW + 70                                                                                                75F369F4 1 Byte  [62]
.text          C:\Windows\system32\DRIVERS\xaudio.exe[1064] USER32.dll!UnhookWindowsHookEx                                                                                                  75C9ADF9 5 Bytes  JMP 001F0A08
.text          C:\Windows\system32\DRIVERS\xaudio.exe[1064] USER32.dll!UnhookWinEvent                                                                                                        75C9B750 5 Bytes  JMP 001F03FC
.text          C:\Windows\system32\DRIVERS\xaudio.exe[1064] USER32.dll!SetWindowsHookExW                                                                                                    75C9E30C 5 Bytes  JMP 001F0804
.text          C:\Windows\system32\DRIVERS\xaudio.exe[1064] USER32.dll!SetWinEventHook                                                                                                      75CA24DC 5 Bytes  JMP 001F01F8
.text          C:\Windows\system32\DRIVERS\xaudio.exe[1064] USER32.dll!SetWindowsHookExA                                                                                                    75CC6D0C 5 Bytes  JMP 001F0600
.text          C:\Windows\system32\AUDIODG.EXE[1140] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[1184] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]
.text          C:\Windows\system32\atieclxx.exe[1252] kernel32.dll!GetBinaryTypeW + 70                                                                                                      75F369F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[1332] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]
.text          C:\Program Files\AVAST Software\Avast\AvastSvc.exe[1412] kernel32.dll!SetUnhandledExceptionFilter                                                                            75F1F4FB 4 Bytes  [C2, 04, 00, 90] {RET 0x4; NOP }
.text          C:\Program Files\AVAST Software\Avast\AvastSvc.exe[1412] kernel32.dll!GetBinaryTypeW + 70                                                                                    75F369F4 1 Byte  [62]
.text          C:\Windows\System32\spoolsv.exe[1504] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[1532] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]
.text          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[1596] kernel32.dll!GetBinaryTypeW + 70                                                                                75F369F4 1 Byte  [62]
.text          C:\Windows\System32\svchost.exe[1644] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]
.text          ...                                                                                                                                                                         
.text          C:\Windows\system32\Dwm.exe[2420] ntdll.dll!LdrUnloadDll                                                                                                                      7746C86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\Dwm.exe[2420] ntdll.dll!LdrLoadDll                                                                                                                        7747223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\Dwm.exe[2420] kernel32.dll!GetBinaryTypeW + 70                                                                                                            75F369F4 1 Byte  [62]
.text          C:\Windows\system32\Dwm.exe[2420] USER32.dll!UnhookWindowsHookEx                                                                                                              75C9ADF9 5 Bytes  JMP 000F0A08
.text          C:\Windows\system32\Dwm.exe[2420] USER32.dll!UnhookWinEvent                                                                                                                  75C9B750 5 Bytes  JMP 000F03FC
.text          C:\Windows\system32\Dwm.exe[2420] USER32.dll!SetWindowsHookExW                                                                                                                75C9E30C 5 Bytes  JMP 000F0804
.text          C:\Windows\system32\Dwm.exe[2420] USER32.dll!SetWinEventHook                                                                                                                  75CA24DC 5 Bytes  JMP 000F01F8
.text          C:\Windows\system32\Dwm.exe[2420] USER32.dll!SetWindowsHookExA                                                                                                                75CC6D0C 5 Bytes  JMP 000F0600
.text          C:\Windows\system32\taskhost.exe[2444] ntdll.dll!LdrUnloadDll                                                                                                                7746C86E 5 Bytes  JMP 000503FC
.text          C:\Windows\system32\taskhost.exe[2444] ntdll.dll!LdrLoadDll                                                                                                                  7747223E 5 Bytes  JMP 000501F8
.text          C:\Windows\system32\taskhost.exe[2444] kernel32.dll!GetBinaryTypeW + 70                                                                                                      75F369F4 1 Byte  [62]
.text          C:\Windows\system32\taskhost.exe[2444] USER32.dll!UnhookWindowsHookEx                                                                                                        75C9ADF9 5 Bytes  JMP 00170A08
.text          C:\Windows\system32\taskhost.exe[2444] USER32.dll!UnhookWinEvent                                                                                                              75C9B750 5 Bytes  JMP 001703FC
.text          C:\Windows\system32\taskhost.exe[2444] USER32.dll!SetWindowsHookExW                                                                                                          75C9E30C 5 Bytes  JMP 00170804
.text          C:\Windows\system32\taskhost.exe[2444] USER32.dll!SetWinEventHook                                                                                                            75CA24DC 5 Bytes  JMP 001701F8
.text          C:\Windows\system32\taskhost.exe[2444] USER32.dll!SetWindowsHookExA                                                                                                          75CC6D0C 5 Bytes  JMP 00170600
.text          C:\Windows\system32\SearchFilterHost.exe[2564] kernel32.dll!GetBinaryTypeW + 70                                                                                              75F369F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[2720] ntdll.dll!LdrUnloadDll                                                                                                                  7746C86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\svchost.exe[2720] ntdll.dll!LdrLoadDll                                                                                                                    7747223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\svchost.exe[2720] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]
.text          C:\Windows\system32\svchost.exe[2720] USER32.dll!UnhookWindowsHookEx                                                                                                          75C9ADF9 5 Bytes  JMP 002A0A08
.text          C:\Windows\system32\svchost.exe[2720] USER32.dll!UnhookWinEvent                                                                                                              75C9B750 5 Bytes  JMP 002A03FC
.text          C:\Windows\system32\svchost.exe[2720] USER32.dll!SetWindowsHookExW                                                                                                            75C9E30C 5 Bytes  JMP 002A0804
.text          C:\Windows\system32\svchost.exe[2720] USER32.dll!SetWinEventHook                                                                                                              75CA24DC 5 Bytes  JMP 002A01F8
.text          C:\Windows\system32\svchost.exe[2720] USER32.dll!SetWindowsHookExA                                                                                                            75CC6D0C 5 Bytes  JMP 002A0600
.text          C:\Windows\System32\svchost.exe[2760] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]
.text          C:\Windows\Explorer.EXE[2768] ntdll.dll!LdrUnloadDll                                                                                                                          7746C86E 5 Bytes  JMP 000603FC
.text          C:\Windows\Explorer.EXE[2768] ntdll.dll!LdrLoadDll                                                                                                                            7747223E 5 Bytes  JMP 000601F8
.text          C:\Windows\Explorer.EXE[2768] kernel32.dll!GetBinaryTypeW + 70                                                                                                                75F369F4 1 Byte  [62]
.text          C:\Windows\Explorer.EXE[2768] USER32.dll!UnhookWindowsHookEx                                                                                                                  75C9ADF9 5 Bytes  JMP 00110A08
.text          C:\Windows\Explorer.EXE[2768] USER32.dll!UnhookWinEvent                                                                                                                      75C9B750 5 Bytes  JMP 001103FC
.text          C:\Windows\Explorer.EXE[2768] USER32.dll!SetWindowsHookExW                                                                                                                    75C9E30C 5 Bytes  JMP 00110804
.text          C:\Windows\Explorer.EXE[2768] USER32.dll!SetWinEventHook                                                                                                                      75CA24DC 5 Bytes  JMP 001101F8
.text          C:\Windows\Explorer.EXE[2768] USER32.dll!SetWindowsHookExA                                                                                                                    75CC6D0C 5 Bytes  JMP 00110600
.text          C:\Program Files\AVAST Software\Avast\AvastUI.exe[2904] kernel32.dll!GetBinaryTypeW + 70                                                                                      75F369F4 1 Byte  [62]
.text          C:\Windows\system32\SearchIndexer.exe[3108] ntdll.dll!LdrUnloadDll                                                                                                            7746C86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\SearchIndexer.exe[3108] ntdll.dll!LdrLoadDll                                                                                                              7747223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\SearchIndexer.exe[3108] kernel32.dll!GetBinaryTypeW + 70                                                                                                  75F369F4 1 Byte  [62]
.text          C:\Windows\system32\SearchIndexer.exe[3108] USER32.dll!UnhookWindowsHookEx                                                                                                    75C9ADF9 5 Bytes  JMP 00090A08
.text          C:\Windows\system32\SearchIndexer.exe[3108] USER32.dll!UnhookWinEvent                                                                                                        75C9B750 5 Bytes  JMP 000903FC
.text          C:\Windows\system32\SearchIndexer.exe[3108] USER32.dll!SetWindowsHookExW                                                                                                      75C9E30C 5 Bytes  JMP 00090804
.text          C:\Windows\system32\SearchIndexer.exe[3108] USER32.dll!SetWinEventHook                                                                                                        75CA24DC 5 Bytes  JMP 000901F8
.text          C:\Windows\system32\SearchIndexer.exe[3108] USER32.dll!SetWindowsHookExA                                                                                                      75CC6D0C 5 Bytes  JMP 00090600
.text          C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe[3244] ntdll.dll!LdrUnloadDll                                                                                                  7746C86E 5 Bytes  JMP 001603FC
.text          C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe[3244] ntdll.dll!LdrLoadDll                                                                                                    7747223E 5 Bytes  JMP 001601F8
.text          C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe[3244] kernel32.dll!GetBinaryTypeW + 70                                                                                        75F369F4 1 Byte  [62]
.text          C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe[3244] USER32.dll!UnhookWindowsHookEx                                                                                          75C9ADF9 5 Bytes  JMP 00190A08
.text          C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe[3244] USER32.dll!UnhookWinEvent                                                                                              75C9B750 5 Bytes  JMP 001903FC
.text          C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe[3244] USER32.dll!SetWindowsHookExW                                                                                            75C9E30C 5 Bytes  JMP 00190804
.text          C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe[3244] USER32.dll!SetWinEventHook                                                                                              75CA24DC 5 Bytes  JMP 001901F8
.text          C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe[3244] USER32.dll!SetWindowsHookExA                                                                                            75CC6D0C 5 Bytes  JMP 00190600
.text          C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3340] ntdll.dll!LdrUnloadDll                                                                                                    7746C86E 5 Bytes  JMP 001603FC
.text          C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3340] ntdll.dll!LdrLoadDll                                                                                                      7747223E 5 Bytes  JMP 001601F8
.text          C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3340] kernel32.dll!GetBinaryTypeW + 70                                                                                          75F369F4 1 Byte  [62]
.text          C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3340] USER32.dll!UnhookWindowsHookEx                                                                                            75C9ADF9 5 Bytes  JMP 001F0A08
.text          C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3340] USER32.dll!UnhookWinEvent                                                                                                75C9B750 5 Bytes  JMP 001F03FC
.text          C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3340] USER32.dll!SetWindowsHookExW                                                                                              75C9E30C 5 Bytes  JMP 001F0804
.text          C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3340] USER32.dll!SetWinEventHook                                                                                                75CA24DC 5 Bytes  JMP 001F01F8
.text          C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3340] USER32.dll!SetWindowsHookExA                                                                                              75CC6D0C 5 Bytes  JMP 001F0600
.text          C:\Program Files\Launch Manager\LManager.exe[3632] ntdll.dll!LdrUnloadDll                                                                                                    7746C86E 5 Bytes  JMP 001603FC
.text          C:\Program Files\Launch Manager\LManager.exe[3632] ntdll.dll!LdrLoadDll                                                                                                      7747223E 5 Bytes  JMP 001601F8
.text          C:\Program Files\Launch Manager\LManager.exe[3632] kernel32.dll!GetBinaryTypeW + 70                                                                                          75F369F4 1 Byte  [62]
.text          C:\Program Files\Launch Manager\LManager.exe[3632] USER32.dll!UnhookWindowsHookEx                                                                                            75C9ADF9 5 Bytes  JMP 00560A08
.text          C:\Program Files\Launch Manager\LManager.exe[3632] USER32.dll!UnhookWinEvent                                                                                                  75C9B750 5 Bytes  JMP 005603FC
.text          C:\Program Files\Launch Manager\LManager.exe[3632] USER32.dll!SetWindowsHookExW                                                                                              75C9E30C 5 Bytes  JMP 00560804
.text          C:\Program Files\Launch Manager\LManager.exe[3632] USER32.dll!SetWinEventHook                                                                                                75CA24DC 3 Bytes  JMP 005601F8
.text          C:\Program Files\Launch Manager\LManager.exe[3632] USER32.dll!SetWinEventHook + 4                                                                                            75CA24E0 1 Byte  [8A]
.text          C:\Program Files\Launch Manager\LManager.exe[3632] USER32.dll!SetWindowsHookExA                                                                                              75CC6D0C 5 Bytes  JMP 00560600
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3640] ntdll.dll!LdrUnloadDll                                                                                            7746C86E 5 Bytes  JMP 001603FC
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3640] ntdll.dll!LdrLoadDll                                                                                              7747223E 5 Bytes  JMP 001601F8
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3640] kernel32.dll!GetBinaryTypeW + 70                                                                                  75F369F4 1 Byte  [62]
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3640] USER32.dll!UnhookWindowsHookEx                                                                                    75C9ADF9 5 Bytes  JMP 002F0A08
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3640] USER32.dll!UnhookWinEvent                                                                                          75C9B750 5 Bytes  JMP 002F03FC
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3640] USER32.dll!SetWindowsHookExW                                                                                      75C9E30C 5 Bytes  JMP 002F0804
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3640] USER32.dll!SetWinEventHook                                                                                        75CA24DC 5 Bytes  JMP 002F01F8
.text          C:\Program Files\HP\HP Software Update\hpwuschd2.exe[3640] USER32.dll!SetWindowsHookExA                                                                                      75CC6D0C 5 Bytes  JMP 002F0600
.text          C:\Program Files\Synaptics\SynTP\SynTPHelper.exe[3660] ntdll.dll!LdrUnloadDll                                                                                                7746C86E 5 Bytes  JMP 001603FC
.text          C:\Program Files\Synaptics\SynTP\SynTPHelper.exe[3660] ntdll.dll!LdrLoadDll                                                                                                  7747223E 5 Bytes  JMP 001601F8
.text          C:\Program Files\Synaptics\SynTP\SynTPHelper.exe[3660] kernel32.dll!GetBinaryTypeW + 70                                                                                      75F369F4 1 Byte  [62]
.text          C:\Program Files\Synaptics\SynTP\SynTPHelper.exe[3660] USER32.dll!UnhookWindowsHookEx                                                                                        75C9ADF9 5 Bytes  JMP 001F0A08
.text          C:\Program Files\Synaptics\SynTP\SynTPHelper.exe[3660] USER32.dll!UnhookWinEvent                                                                                              75C9B750 5 Bytes  JMP 001F03FC
.text          C:\Program Files\Synaptics\SynTP\SynTPHelper.exe[3660] USER32.dll!SetWindowsHookExW                                                                                          75C9E30C 5 Bytes  JMP 001F0804
.text          C:\Program Files\Synaptics\SynTP\SynTPHelper.exe[3660] USER32.dll!SetWinEventHook                                                                                            75CA24DC 5 Bytes  JMP 001F01F8
.text          C:\Program Files\Synaptics\SynTP\SynTPHelper.exe[3660] USER32.dll!SetWindowsHookExA                                                                                          75CC6D0C 5 Bytes  JMP 001F0600
.text          C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[3680] ntdll.dll!LdrUnloadDll                                                                                          7746C86E 5 Bytes  JMP 001603FC
.text          C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[3680] ntdll.dll!LdrLoadDll                                                                                            7747223E 5 Bytes  JMP 001601F8
.text          C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[3680] kernel32.dll!GetBinaryTypeW + 70                                                                                75F369F4 1 Byte  [62]
.text          C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[3680] USER32.dll!UnhookWindowsHookEx                                                                                  75C9ADF9 5 Bytes  JMP 001F0A08
.text          C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[3680] USER32.dll!UnhookWinEvent                                                                                      75C9B750 5 Bytes  JMP 001F03FC
.text          C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[3680] USER32.dll!SetWindowsHookExW                                                                                    75C9E30C 5 Bytes  JMP 001F0804
.text          C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[3680] USER32.dll!SetWinEventHook                                                                                      75CA24DC 5 Bytes  JMP 001F01F8
.text          C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[3680] USER32.dll!SetWindowsHookExA                                                                                    75CC6D0C 5 Bytes  JMP 001F0600
.text          C:\Windows\system32\SearchProtocolHost.exe[3804] ntdll.dll!LdrUnloadDll                                                                                                      7746C86E 5 Bytes  JMP 000503FC
.text          C:\Windows\system32\SearchProtocolHost.exe[3804] ntdll.dll!LdrLoadDll                                                                                                        7747223E 5 Bytes  JMP 000501F8
.text          C:\Windows\system32\SearchProtocolHost.exe[3804] kernel32.dll!GetBinaryTypeW + 70                                                                                            75F369F4 1 Byte  [62]
.text          C:\Windows\system32\SearchProtocolHost.exe[3804] USER32.dll!UnhookWindowsHookEx                                                                                              75C9ADF9 5 Bytes  JMP 000D0A08
.text          C:\Windows\system32\SearchProtocolHost.exe[3804] USER32.dll!UnhookWinEvent                                                                                                    75C9B750 5 Bytes  JMP 000D03FC
.text          C:\Windows\system32\SearchProtocolHost.exe[3804] USER32.dll!SetWindowsHookExW                                                                                                75C9E30C 5 Bytes  JMP 000D0804
.text          C:\Windows\system32\SearchProtocolHost.exe[3804] USER32.dll!SetWinEventHook                                                                                                  75CA24DC 5 Bytes  JMP 000D01F8
.text          C:\Windows\system32\SearchProtocolHost.exe[3804] USER32.dll!SetWindowsHookExA                                                                                                75CC6D0C 5 Bytes  JMP 000D0600
.text          C:\Windows\system32\svchost.exe[4056] ntdll.dll!LdrUnloadDll                                                                                                                  7746C86E 5 Bytes  JMP 000603FC
.text          C:\Windows\system32\svchost.exe[4056] ntdll.dll!LdrLoadDll                                                                                                                    7747223E 5 Bytes  JMP 000601F8
.text          C:\Windows\system32\svchost.exe[4056] kernel32.dll!GetBinaryTypeW + 70                                                                                                        75F369F4 1 Byte  [62]

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\Program Files\AVAST Software\Avast\AvastSvc.exe[1412] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]                                                      [71E0F6D0] C:\Program Files\AVAST Software\Avast\aswCmnBS.dll (Common functions/AVAST Software)
IAT            C:\Program Files\AVAST Software\Avast\AvastUI.exe[2904] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]                                                        [71E0F6D0] C:\Program Files\AVAST Software\Avast\aswCmnBS.dll (Common functions/AVAST Software)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                                                                        aswSP.SYS (avast! self protection module/AVAST Software)

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                                                                      Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                                                                      Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Tcp                                                                                                                                                      aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                                                        fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                                                        fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                                                        fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004b                                                                                                                                            halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\tdx \Device\Udp                                                                                                                                                      aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                                                                                      fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:2952]                                                                                                                                                              A5462F2E

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001060d092ff                                                                                                 
Reg            HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001060d092ff (not active ControlSet)                                                                             
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\Users\***_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HP\HP\xa0Update.lnk  1
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP\xa0Update.lnk                      1

---- EOF - GMER 1.0.15 ----
--- --- ---


OSAM liefert:
Code:
OSAM Logfile:

       
Code:

       
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 19:58:19 on 25.09.2012

OS: Windows 7 Home Premium Edition Service Pack 1 (Build 7601), 32-bit
Default Browser: Mozilla Corporation Firefox 15.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Adobe Flash Player Updater.job" - "Adobe Systems Incorporated" - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"aswFsBlk" (aswFsBlk) - "AVAST Software" - C:\Windows\system32\drivers\aswFsBlk.sys
"aswMonFlt" (aswMonFlt) - "AVAST Software" - C:\Windows\system32\drivers\aswMonFlt.sys
"aswRdr" (aswRdr) - "AVAST Software" - C:\Windows\System32\Drivers\aswrdr2.sys
"aswSnx" (aswSnx) - "AVAST Software" - C:\Windows\system32\drivers\aswSnx.sys
"aswSP" (aswSP) - "AVAST Software" - C:\Windows\system32\drivers\aswSP.sys
"avast! Network Shield Support" (aswTdi) - "AVAST Software" - C:\Windows\system32\drivers\aswTdi.sys
"catchme" (catchme) - ? - C:\Users\JOHANN~1\AppData\Local\Temp\catchme.sys  (File not found)
"Dritek General Port I/O" (DritekPortIO) - ? - C:\Program Files\Launch Manager\DPortIO.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
6de2ed6f-0b56-4d57-b0f0-551ec8cbb27f "StubPath" - "Expert System S.p.A." - C:\ProgramData\Duden\dkreg.exe /dktray=on /csapi=on /ALLUSERS
{07e84f41-11d5-4615-aaf6-368df0762b41} "StubPath" - "Expert System S.p.A." - C:\ProgramData\Duden\dkreg.exe /dktray=off /csapi=off /ALLUSERS
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{472083B0-C522-11CF-8763-00608CC02F24} "avast" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\ashShell.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{555D4D79-4BD2-4094-A395-CFC534424A05} "{555D4D79-4BD2-4094-A395-CFC534424A05}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "avast! WebRep" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} "avast! WebRep" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Known DLLs]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs )-----
"advapi32" - "Microsoft Corporation" - C:\Windows\system32\advapi32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"clbcatq" - "Microsoft Corporation" - C:\Windows\system32\clbcatq.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"COMDLG32" - "Microsoft Corporation" - C:\Windows\system32\COMDLG32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"DifxApi" - "Microsoft Corporation" - C:\Windows\system32\difxapi.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"gdi32" - "Microsoft Corporation" - C:\Windows\system32\gdi32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"IERTUTIL" - "Microsoft Corporation" - C:\Windows\system32\IERTUTIL.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"IMAGEHLP" - "Microsoft Corporation" - C:\Windows\system32\IMAGEHLP.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"IMM32" - "Microsoft Corporation" - C:\Windows\system32\IMM32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"kernel32" - "Microsoft Corporation" - C:\Windows\system32\kernel32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"LPK" - "Microsoft Corporation" - C:\Windows\system32\LPK.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"MSCTF" - "Microsoft Corporation" - C:\Windows\system32\MSCTF.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"MSVCRT" - "Microsoft Corporation" - C:\Windows\system32\MSVCRT.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"NORMALIZ" - "Microsoft Corporation" - C:\Windows\system32\NORMALIZ.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"NSI" - "Microsoft Corporation" - C:\Windows\system32\NSI.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"ole32" - "Microsoft Corporation" - C:\Windows\system32\ole32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"OLEAUT32" - "Microsoft Corporation" - C:\Windows\system32\OLEAUT32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"PSAPI" - "Microsoft Corporation" - C:\Windows\system32\PSAPI.DLL  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"rpcrt4" - "Microsoft Corporation" - C:\Windows\system32\rpcrt4.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"sechost" - "Microsoft Corporation" - C:\Windows\system32\sechost.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"Setupapi" - "Microsoft Corporation" - C:\Windows\system32\Setupapi.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"SHELL32" - "Microsoft Corporation" - C:\Windows\system32\SHELL32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"SHLWAPI" - "Microsoft Corporation" - C:\Windows\system32\SHLWAPI.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"URLMON" - "Microsoft Corporation" - C:\Windows\system32\URLMON.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"user32" - "Microsoft Corporation" - C:\Windows\system32\user32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"USP10" - "Microsoft Corporation" - C:\Windows\system32\USP10.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"WININET" - "Microsoft Corporation" - C:\Windows\system32\WININET.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"WLDAP32" - "Microsoft Corporation" - C:\Windows\system32\WLDAP32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"WS2_32" - "Microsoft Corporation" - C:\Windows\system32\WS2_32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\***_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"avast" - "AVAST Software" - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
"HP Software Update" - "Hewlett-Packard" - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
"LManager" - "Dritek System Inc." - C:\Program Files\Launch Manager\LManager.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"doPDF 7 Monitor" - "Softland" - C:\Windows\system32\dopdfmn7.dll
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Adobe Acrobat Update Service" (AdobeARMservice) - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
"Adobe Flash Player Update Service" (AdobeFlashPlayerUpdateSvc) - "Adobe Systems Incorporated" - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
"avast! Antivirus" (avast! Antivirus) - "AVAST Software" - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
"HP Network Devices Support" (HPSLPSVC) - "Hewlett-Packard Co." - C:\Users\***\AppData\Local\Temp\7zS1BE4\hpslpsvc32.dll
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZinw12.dll
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZipm12.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
Ich hoffe aswMBR hat richtig funktioniert, ich wurde nicht gefragt ob ich ein
Definitions-Update machen will.
aswMBR liefert:
Code:
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-25 20:23:17
-----------------------------
20:23:17.240    OS Version: Windows 6.1.7601 Service Pack 1
20:23:17.256    Number of processors: 2 586 0x301
20:23:17.256    ComputerName: ***-PC  UserName: ***_2
20:23:20.360    Initialize success
20:23:20.704    AVAST engine defs: 12092500
20:23:23.621    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000058
20:23:23.636    Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 11
20:23:23.652    Disk 0 MBR read successfully
20:23:23.668    Disk 0 MBR scan
20:23:23.683    Disk 0 Windows 7 default MBR code
20:23:23.699    Disk 0 Partition 1 00    27 Hidden NTFS WinRE MSDOS5.0    10000 MB offset 2048
20:23:23.714    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS      205242 MB offset 20482048
20:23:23.761    Disk 0 Partition 3 00    07    HPFS/NTFS NTFS        89999 MB offset 440819712
20:23:23.777    Disk 0 scanning sectors +625137664
20:23:23.855    Disk 0 scanning C:\Windows\system32\drivers
20:23:39.985    Service scanning
20:24:06.880    Modules scanning
20:24:24.102    Disk 0 trace - called modules:
20:24:24.133    ntkrnlpa.exe CLASSPNP.SYS disk.sys amdxata.sys ACPI.sys halmacpi.dll storport.sys amdsata.sys
20:24:24.165    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x861c8030]
20:24:24.180    3 CLASSPNP.SYS[8ada959e] -> nt!IofCallDriver -> [0x861869c8]
20:24:24.196    5 amdxata.sys[8ab967b6] -> nt!IofCallDriver -> [0x86186f08]
20:24:24.227    7 ACPI.sys[833a13d4] -> nt!IofCallDriver -> \Device\00000058[0x86182030]
20:24:25.990    AVAST engine scan C:\Windows
20:24:29.094    AVAST engine scan C:\Windows\system32
20:27:16.592    AVAST engine scan C:\Windows\system32\drivers
20:27:49.539    AVAST engine scan C:\Users\***_2
20:28:09.242    AVAST engine scan C:\ProgramData
20:28:30.770    Scan finished successfully
20:28:50.707    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat"
20:28:50.723    The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR.txt"

cosinus 26.09.2012 10:08
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

dertb 26.09.2012 21:29
Hallo

hier also Malwarebytes
Code:
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.26.09

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
***_2 :: ***-PC [Administrator]

26.09.2012 18:32:53
mbam-log-2012-09-26 (18-32-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 303760
Laufzeit: 55 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
SASW
Code:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 09/26/2012 bei 10:24 PM

Version der Applikation : 5.5.1016

Version der Kern-Datenbank : 9295
Version der Spur-Datenbank : 7107

Scan Art      : kompletter Scann
Totale Scann-Zeit : 01:22:47

Operating System Information
Windows 7 Home Premium 32-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Administrator

Gescannte Speicherelemente  : 613
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 35505
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 99933
Erfasste Datei-Elemente  : 0
Teilst du mir mit wann ich z.B. Combofix wieder deinstallieren kann?

cosinus 27.09.2012 15:45
Sieht ok aus, keine Funde!


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

dertb 27.09.2012 19:55
:dankeschoen:

Soweit ich das sehe ist alles ok, Geschwindigkeit ist ok und Programme auch.

Es ist also alles in Ordnung?
Kann ich dann dann ComboFix deinstallieren (und aufräumen)?

Sieht so aus daß ich nicht der einzige wäre der das Problem hatte:

Trojan.Spatet found in HP Solution Centre file - Malwarebytes Forum:
hxxp://forums.malwarebytes.org/index.php?showtopic=116450

Deskjet F2280 - has the recent update of the Solution Centre... - HP Support Forum:
hxxp://h30434.www3.hp.com/t5/Printer-All-in-One-Software/Deskjet-F2280-has-the-recent-update-of-the-Solution-Centre/td-p/1887379

Jedenfalls habe ich Cookies bisher immer beim Schließen von Firefox gelöscht,
das stört mich eigentlich nicht. Bringt eigentlich ein live-System was beim "wilden surfen" oder sandboxie?

cosinus 27.09.2012 20:56
Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

dertb 29.09.2012 15:40
:dankeschoen: :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:57 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19