Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Google falscher link weiterleitung (https://www.trojaner-board.de/45431-google-falscher-link-weiterleitung.html)

kimis 04.11.2007 14:05
Google falscher link weiterleitung
 
Ein Hallo aus Hessen,
angefangen hat es mit Goggle-Suche. Ich wollte auf ein Treffer klicken doch der IE leitete auf eine ganz andere Seite um.
dieses Problem wurde schon in einer ähnlichen Variante behandelt. Mein IE ist beim beenden mit einem write & read fehler im speicher quitiert worden. ich bin immer auf diese Seite geleitet worden:
h**p://201.218.196.152/click.php?c=bf67b9cb043642c2d26f4005&r=2

Habe mit ccleaner -panda online scan - bitdefender - spyboot - escandurchgearbeitet.

Panda hat was gefunden gehabt:
memScan: Trojan.Downloader.Tibs.gxl (im restore verzeichnis)
Trojan.spy.bzub.nfy (im win/sys/cdfvie.1)

E-scan hat auch zwei sachen gefunden:
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden
D:\K***** Sichern\desktop.ini infiziert von "VB.CO.Leftover" Virus
Diese zwei dinger hab ich noch nicht weg bekommen.....


Die diversen progs laufen lassen. sonst kam keine fehlermeldung mehr.Jetzt habe ich "alle" empfohlenen Arbeiten gmacht. Doch die Unsicherheit überwiegt. Zumal der versuch auf diese Seite umzuleiten immer noch gemacht wird. Das ganze kostet viel Nerven und schon viele stunden an der Kiste gekostet.
Ich hab Northon & alle Winupdates gemacht und trotzdem so ein mit. Ich frag mich nur wie...?

ich habe nun als letztes den HiJ gemacht......und hoffe auf prof-Hilfe. den e-scan kommt im anschluß:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:08, on 04.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
E:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\CTsvcCDA.exe
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
E:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\programme\internet explorer\iexplore.exe
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\programme\internet explorer\iexplore.exe
E:\programme\HiJackThis\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C8AC5989-74D4-445F-A2EE-9B3AB8E198F6} - C:\WINDOWS\system32\cdfvie.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] E:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "E:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193078511750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1187298317531
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - E:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - E:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - E:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - E:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe


Gruß kimi

kimis 04.11.2007 14:08
Google falscher link weiterleitung
 
so, jetzt kommt der EScan Report.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.1
Sprache: German
Virus-Datenbank Datum: 11/4/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\K***** Sichern\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
E:\programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 110536
Gefundene Viren: 2
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 33
Dauer des Scans bisher: 01:18:25
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:23:44,01
Batchende: 13:23:51,38

Sunny 04.11.2007 14:13
http://www.smiliegenerator.de/s33/smilies-25934.png

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:


Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

kimis 04.11.2007 15:38
Hey, Vielen Dank für das Willkommen. Ja soviel Zeit sollte sein.

habe die prog runtergeladen. Doch CoboFix lief nicht: Fehler: swereg.cfexe und stack overflow.....?

Was sieht man in dem tool Silent runners? Info wäre klasse- reiner lerneffekt. hier die txt....

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Ptipbmf" = "rundll32.exe ptipbmf.dll,SetWriteCacheMode" [MS]
"WINDVDPatch" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."]
"CTStartup" = "E:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run" ["Creative Technology Ltd."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"osCheck" = ""E:\Programme\Norton Internet Security\osCheck.exe"" ["Symantec Corporation"]
"Symantec PIF AlertEng" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"" ["Symantec Corporation"]
"PinnacleDriverCheck" = "C:\WINDOWS\system32\\PSDrvCheck.exe" [empty string]
"QuickTime Task" = ""E:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1E8A6170-7264-4D0F-BEAE-D42A53123C75}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll" ["Symantec Corporation"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "E:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "e:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "E:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]
{C8AC5989-74D4-445F-A2EE-9B3AB8E198F6}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\cdfvie.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "E:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
"{79BC0345-1015-11D2-A299-006008312725}" = "blue.shell"
-> {HKLM...CLSID} = "Studio.Project"
\InProcServer32\(Default) = "E:\programme\Pinnacle\Studio 10\programs\BlueShellExt.dll" [null data]
"{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons"
-> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class"
\InProcServer32\(Default) = "E:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "E:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}"
-> {HKLM...CLSID} = "NeroCoverEdContextMenu Class"
\InProcServer32\(Default) = "E:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "E:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "E:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoCDBurning" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Bond\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "E:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]
"Norton Internet Security - Systemprüfung ausführen - Bond" -> launches: "E:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "e:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{90222687-F593-4738-B738-FBEE9C7B26DF}" = "NCO Toolbar"
-> {HKLM...CLSID} = "Show Norton Toolbar"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll" ["Symantec Corporation"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "e:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "E:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "E:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Adobe Active File Monitor V5, AdobeActiveFileMonitor5.0, "E:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe" [null data]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
AVM IGD CTRL Service, AVM IGD CTRL Service, "E:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.exe" ["Creative Technology Ltd"]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
LiveUpdate, LiveUpdate, ""E:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE"" ["Symantec Corporation"]
LiveUpdate Notice Service Ex, LiveUpdate Notice Ex, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
MSSQL$PINNACLESYS, MSSQL$PINNACLESYS, ""E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS" [MS]
Pinnacle Systems Media Service, PinnacleSys.MediaServer, ""E:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe"" [null data]
Symantec AppCore Service, SymAppCore, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Symantec Lic NetConnect service, CLTNetCnService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS]


---------- (launch time: 2007-11-04 15:29:02)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 73 seconds, including 18 seconds for message boxes)

kimis 04.11.2007 15:48
tataa, hier ist das Combo file

ComboFix 07-11-01.1** - Bond 2007-11-04 15:40:45.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1556 [GMT 1:00]
ausgeführt von:: D:\K***** Sichern\Programme\virencheck\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-04 bis 2007-11-04 ))))))))))))))))))))))))))))))
.

2007-11-04 15:34 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-04 11:29 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-04 11:29 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-04 11:29 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-11-04 11:29 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-04 11:29 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-04 11:29 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-04 11:29 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-04 11:27 153,600 --a------ C:\WINDOWS\R.COM
2007-11-04 11:27 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-01 21:56 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-11-01 20:07 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2007-10-31 22:31 <DIR> d-------- E:\programme\CCleaner
2007-10-31 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-28 19:41 <DIR> d-------- E:\programme\MSXML 4.0
2007-10-28 19:38 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-10-28 19:38 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-10-28 19:38 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-10-28 19:35 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-28 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-28 11:38 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2007-10-28 11:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-28 11:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-28 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-28 11:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-28 11:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-22 20:21 17,792 C:\WINDOWS\system32\drivers\iwwuioxy.dat
2007-10-22 20:20 115,200 --a------ C:\WINDOWS\system32\cdfvie.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-04 14:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-11-03 23:01 --------- d-----w E:\Programme\Norton Internet Security
2007-11-03 22:59 --------- d-----w E:\Programme\Google
2007-11-03 22:59 --------- d-----w E:\Programme\FRITZ!DSL
2007-11-03 22:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-03 22:36 --------- d-----w C:\Programme\Gemeinsame Dateien\AVM
2007-11-01 21:40 --------- d-----w E:\Programme\QuickTime
2007-10-30 18:03 --------- d-----w E:\Programme\eMule
2007-10-22 19:16 71,525 ----a-w C:\Dokumente und Einstellungen\Bond\Anwendungsdaten\mdb.bin
2007-10-22 18:36 --------- d-----w C:\Dokumente und Einstellungen\Bond\Anwendungsdaten\FRITZ!
2007-10-04 18:17 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-10-04 18:17 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2007-10-04 18:17 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-10-04 18:17 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-10-04 18:17 --------- d-----w E:\Programme\Symantec
2007-09-20 20:27 --------- d-----w E:\Programme\LIDL Fotoservice
2007-09-18 12:44 10,662 ----a-w C:\WINDOWS\system32\drivers\srtspx.cat
2007-09-18 12:44 10,662 ----a-w C:\WINDOWS\system32\drivers\srtspl.cat
2007-09-18 12:44 10,658 ----a-w C:\WINDOWS\system32\drivers\srtsp.cat
2007-09-18 12:44 1,430 ----a-w C:\WINDOWS\system32\drivers\srtspl.inf
2007-09-18 12:44 1,421 ----a-w C:\WINDOWS\system32\drivers\srtspx.inf
2007-09-18 12:44 1,415 ----a-w C:\WINDOWS\system32\drivers\srtsp.inf
2007-09-18 12:43 43,696 ----a-w C:\WINDOWS\system32\drivers\srtspx.sys
2007-09-18 12:43 317,616 ----a-w C:\WINDOWS\system32\drivers\srtspl.sys
2007-09-18 12:43 278,576 ----a-w C:\WINDOWS\system32\drivers\srtsp.sys
2007-08-21 06:16 683,520 ------w C:\WINDOWS\system32\inetcomm.dll
2007-08-13 17:54 413,696 ----a-w C:\WINDOWS\system32\vbscript.dll
2007-08-13 17:54 156,160 ----a-w C:\WINDOWS\system32\msls31.dll
2007-08-13 17:45 78,336 ----a-w C:\WINDOWS\system32\ieencode.dll
2007-08-13 17:44 40,960 ----a-w C:\WINDOWS\system32\licmgr10.dll
2007-08-13 17:42 17,408 ----a-w C:\WINDOWS\system32\corpol.dll
2007-08-13 17:39 71,680 ----a-w C:\WINDOWS\system32\admparse.dll
2007-08-13 17:39 55,296 ----a-w C:\WINDOWS\system32\iesetup.dll
2007-08-13 17:36 36,352 ----a-w C:\WINDOWS\system32\imgutil.dll
2007-08-13 17:32 45,568 ----a-w C:\WINDOWS\system32\mshta.exe
2007-08-13 17:01 48,128 ----a-w C:\WINDOWS\system32\mshtmler.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C8AC5989-74D4-445F-A2EE-9B3AB8E198F6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ptipbmf"="ptipbmf.dll" [2003-06-20 08:06 C:\WINDOWS\system32\ptipbmf.dll]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 10:56 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 00:00]
"CTStartup"="E:\Programme\Creative\Splash Screen\CTEaxSpl.exe" [2001-12-20 00:00]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59]
"osCheck"="E:\Programme\Norton Internet Security\osCheck.exe" [2007-01-14 00:11]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 09:22]
"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-10 23:26]
"QuickTime Task"="E:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57]
"swg"="E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-19 21:28]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
@=

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Bond^Startmenü^Programme^Autostart^Watch.lnk]
path=C:\Dokumente und Einstellungen\Bond\Startmenü\Programme\Autostart\Watch.lnk
backup=C:\WINDOWS\pss\Watch.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"E:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"E:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"E:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]
E:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"E:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StorageGuard]
"E:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
E:\programme\Winamp\winampa.exe

R0 gbtwjtet;gbtwjtet;C:\WINDOWS\system32\drivers\iwwuioxy.dat
R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys
R0 OODrvled;OODrvled;C:\WINDOWS\system32\DRIVERS\OODrvled.sys
R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
S1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys
S3 SFC4;SFC4;C:\WINDOWS\system32\drivers\SFC4.sys

*Newly Created Service* - CATCHME
*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2007-09-26 14:56:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
"2007-10-22 18:13:24 C:\WINDOWS\Tasks\Norton Internet Security - Systemprüfung ausführen - Bond.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-04 15:43:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = E:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run???????h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4???????\'2???6~??6~????????\???\???????????U?6~??6~\???\??????? ?_??????C@?\???\??????s????\??????s\???@'2?A??s@'2??C@?x???`|?w\?????@

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-04 15:43:38
.
--- E O F ---

Sunny 04.11.2007 15:55
Zitat:
Was sieht man in dem tool Silent runners? Info wäre klasse- reiner lerneffekt.
Silentrunners ist ähnlich dem Hijacklog, nur das hier beiweitem mehr Systemeinheiten angezeigt werden.
z.B. Dateien Auto-/Startbereich, Registrierung, Hintergrundbilder, und alle Treiber für deine Internetverbindung. (dort verstecken sich manchmal die Überltäter zur falschen verlinkung von Google Ergebnissen.


>Mach nun bitte folgendes:<


Dateien Online überprüfen lassen

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:


C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\system32\cdfvie.dll
C:\WINDOWS\system32\drivers\iwwuioxy.dat
E:\Programme\Creative\Splash Screen\CTEaxSpl.EXE
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



RootkitRevealer scannen lassen

* Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
* Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
* Starte durch Klick auf "Scan".
* Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.



Gmer scannen lassen

* Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
* Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
* Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist (Wichtig: "Show all" darf nicht angehakt sein) und starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
* Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
* Füge das Log aus der Zwischenablage in deine Antwort hier ein.


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

kimis 04.11.2007 16:41
Hallo,

wow da ist ja richtig action angesagt. egal attake.....
hier nun die checks:
Die erste Datei --C:\WINDOWS\system32\iifgfgf.dll--->das ist ein Ordner, ist nichts drin

C:\WINDOWS\system32\cdfvie.dll

Datei cdfvie.dll empfangen 2007.11.04 16:06:36 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.3.0 2007.11.02 -
AntiVir 7.6.0.30 2007.11.02 -
Authentium 4.93.8 2007.11.03 -
Avast 4.7.1074.0 2007.11.04 -
AVG 7.5.0.503 2007.11.04 -
BitDefender 7.2 2007.11.04 -
CAT-QuickHeal 9.00 2007.11.03 -
ClamAV 0.91.2 2007.11.04 -
DrWeb 4.44.0.09170 2007.11.04 Trojan.Sentinel
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5264 2007.11.02 -
Ewido 4.0 2007.11.04 -
FileAdvisor 1 2007.11.04 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.03 W32/Downloader.F.gen!Eldorado
F-Secure 6.70.13030.0 2007.11.04 -
Ikarus T3.1.1.12 2007.11.04 Trojan-Spy.Win32.BZub.btx
Kaspersky 7.0.0.125 2007.11.04 -
McAfee 5155 2007.11.02 -
Microsoft 1.2908 2007.11.04 -
NOD32v2 2636 2007.11.03 -
Norman 5.80.02 2007.11.02 -
Panda 9.0.0.4 2007.11.04 Suspicious file
Prevx1 V2 2007.11.04 -
Rising 20.16.62.00 2007.11.04 -
Sophos 4.23.0 2007.11.04 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.04 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.11.03 -
VirusBuster 4.3.26:9 2007.11.03 -
Webwasher-Gateway 6.6.1 2007.11.02 Worm.Win32.Malware.gen!88 (suspicious)

weitere Informationen
File size: 115200 bytes
MD5: 6b4bbabdcfbb1589d7da9d8970f99040
SHA1: a150955c86286844dde784e155d193853bb989e4


Datei cdfvie.dll empfangen 2007.11.04 16:06:36 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 5/32 (15.63%)




C:\WINDOWS\system32\drivers\iwwuioxy.dat

--->diese datei lies sich erst gar nicht senden 0 byte empfangen. Doch die datei hat 17.3 byte?????



E:\Programme\Creative\Splash Screen\CTEaxSpl.EXE
Datei CTEaxSpl.exe empfangen 2007.11.04 16:25:44 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
weitere Informationen
File size: 28672 bytes
MD5: 11f667e25db0350ef5b1fa58dc3dc864
SHA1: d8fd315ae3a62327a2166ffd3ef83e93e6f7d8fc



so gleich kommt RootKid Revealer


c u

kimis 04.11.2007 19:01
Hier ist nun die Auswertung von RootKit.( ich glaube, dass ich bald gläsern bin...:crazy:

HKU\.DEFAULT\Control Panel\International 04.11.2007 15:43 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 04.11.2007 15:43 0 bytes Security mismatch.
HKU\S-1-5-21-343818398-1292428093-682003330-1004\Control Panel\International 04.11.2007 15:43 0 bytes Security mismatch.
HKU\S-1-5-21-343818398-1292428093-682003330-1004\Control Panel\International\Geo 04.11.2007 15:43 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International 04.11.2007 15:43 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo 04.11.2007 15:43 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 01.05.2007 17:05 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 01.05.2007 17:05 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\.ids\ 03.11.2007 22:36 9 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\blue.Shortcut\ 20.05.2007 22:36 15 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\blue.Shortcut\shell\open\command\ 20.05.2007 22:36 15 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 20.05.2007 22:14 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 10.05.2007 21:05 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PollManager\currentPollMinutes 04.11.2007 16:42 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PollManager\lastGoodTime 04.11.2007 16:42 32 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 28.10.2007 19:44 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 28.10.2007 19:44 111.50 KB Visible in Windows API, but not in MFT or directory index.

kimis 04.11.2007 19:39
So und nun kommt die Gmer Auswertung....


GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-11-04 19:31:08
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.13 ----

SSDT 88B1A328 ZwAlertResumeThread
SSDT 88AE2790 ZwAlertThread
SSDT 89D733B8 ZwAllocateVirtualMemory
SSDT 8715C828 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwCreateKey
SSDT 889E2AE0 ZwCreateMutant
SSDT 8898A658 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteValueKey
SSDT 874E06D8 ZwFreeVirtualMemory
SSDT 88B27BC0 ZwImpersonateAnonymousToken
SSDT 88B24460 ZwImpersonateThread
SSDT 87436418 ZwMapViewOfSection
SSDT 88B5DF28 ZwOpenEvent
SSDT 88A899A8 ZwOpenProcessToken
SSDT 88A73C60 ZwOpenThreadToken
SSDT 88837750 ZwResumeThread
SSDT 88AA60B8 ZwSetContextThread
SSDT 88A73DE8 ZwSetInformationProcess
SSDT 8893E1C0 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwSetValueKey
SSDT 88C227D0 ZwSuspendProcess
SSDT 88AC8AB0 ZwSuspendThread
SSDT 8883AC90 ZwTerminateProcess
SSDT 88ACA1A8 ZwTerminateThread
SSDT 88A92E00 ZwUnmapViewOfSection
SSDT 88BCB830 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.13 ----

PAGE ntkrnlpa.exe!ObReferenceObjectByHandle + 44F 805BA359 7 Bytes JMP BAB28F46 iwwuioxy.dat
? iwwuioxy.dat Das System kann die angegebene Datei nicht finden.
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden.
? C:\DOKUME~1\Bond\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden.
? C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS Das System kann die angegebene Datei nicht finden.

---- Devices - GMER 1.0.13 ----
das war der erster Teil....

datei ist zu groß

kimis 04.11.2007 19:46
zweiter teil
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [BA6CE1DE] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [BA6CE1DE] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [BA6CE454] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [BA6CE1DE] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [BACC08F8] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [BACC0BA2] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [BACC2B3A] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [BACC2AE0] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [BACC0C24] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [BACC1328] OODrvled.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_READ [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_WRITE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_POWER [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_READ [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_WRITE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_EA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_EA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FLUSH_BUFFERS [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DIRECTORY_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_LOCK_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_SECURITY [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_SECURITY [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_POWER [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SYSTEM_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CHANGE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_QUOTA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_QUOTA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_NAMED_PIPE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_READ [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_WRITE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_EA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_EA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_FLUSH_BUFFERS [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_VOLUME_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_VOLUME_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DIRECTORY_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_FILE_SYSTEM_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_LOCK_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_MAILSLOT [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_SECURITY [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_SECURITY [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_POWER [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SYSTEM_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CHANGE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_QUOTA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_QUOTA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_NAMED_PIPE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_READ [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_WRITE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_EA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_EA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_FLUSH_BUFFERS [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_VOLUME_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_VOLUME_INFORMATION [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DIRECTORY_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_FILE_SYSTEM_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_LOCK_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_MAILSLOT [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_SECURITY [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_SECURITY [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_POWER [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SYSTEM_CONTROL [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CHANGE [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_QUOTA [A9ECD370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_QUOTA [A9ECD370] SYMTDI.SYS
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE [BA6CE1DE] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE [BA6CE1DE] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLOSE [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_READ [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_WRITE [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_EA [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL [BA6CE454] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT [BA6CE1DE] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_POWER [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA [BA6C1F4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE [BACC08F8] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLOSE [BACC0BA2] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_READ [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_WRITE [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_EA [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL [BACC2B3A] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL [BACC2AE0] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP [BACC0C24] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY [BACC122C] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY [BACC12AA] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_POWER [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA [BACC1328] OODrvled.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA [BACC1328] OODrvled.sys


und weiter geht es mit dem nächsten Punkt......

Sunny 04.11.2007 19:58
Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\DOKUME~1\Bond\LOKALE~1\Temp\catchme.sys
C:\WINDOWS\system32\cdfvie.dll
C:\WINDOWS\system32\drivers\iwwuioxy.dat
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, poste ob deine Links immer noch umgeleitet werden und erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


Hoffe ich habe alles erwischt! :balla:

kimis 04.11.2007 20:00
Hallo, hier ist nun der der letzte Punkt von meiner To Do liste (bis jetzt)
Ich hoffe das ihr was findet.....

Kann man auch sehen, mit WAS oder WIE man sich so was einfängt?

Ansonsten Grüße an die Helfer.....dennoch Hut ab, für die Personen die da durchblicken.



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 80B2-45BE

Verzeichnis von C:\

04.11.2007 15:43 11.249 ComboFix.txt
04.11.2007 14:21 1.610.612.736 pagefile.sys
04.11.2007 12:48 87 23990098.$$$
02.11.2007 23:38 211 boot.ini
21.05.2007 21:33 0 AdobeDebug.txt

Verzeichnis von C:\WINDOWS\system32

04.11.2007 14:26 418.454 perfh009.dat
04.11.2007 14:26 69.902 perfc009.dat
04.11.2007 14:26 82.604 perfc007.dat
04.11.2007 14:26 432.954 perfh007.dat
04.11.2007 14:26 1.017.602 PerfStringBackup.INI
04.11.2007 14:24 2.422 wpa.dbl
04.11.2007 14:14 30.276 BMXBkpCtrlState-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
04.11.2007 14:14 30.276 BMXCtrlState-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
04.11.2007 14:14 17.596 BMXStateBkp-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
04.11.2007 14:14 17.596 BMXState-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
04.11.2007 14:14 1.080 settingsbkup.sfm
04.11.2007 14:14 1.080 settings.sfm
04.11.2007 14:14 24 DVCStateBkp-{00000000-00000000-0000000D-00001102-00000002-80651102}.dat
04.11.2007 14:14 24 DVCState-{00000000-00000000-0000000D-00001102-00000002-80651102}.dat
03.11.2007 23:29 2.550 Uninstall.ico
03.11.2007 23:29 1.406 Help.ico
03.11.2007 23:29 30.590 pavas.ico
01.11.2007 22:05 0 asfiles.txt
28.10.2007 19:50 137.256 FNTCACHE.DAT
28.10.2007 19:41 129.082 TZLog.log
04.10.2007 19:17 60.800 S32EVNT1.DLL
27.09.2007 22:19 18.089.592 MRT.exe
26.09.2007 18:05 12.288 advpack.dll.mui
21.08.2007 07:16 683.520 inetcomm.dll




Verzeichnis von C:\WINDOWS\Prefetch

04.11.2007 19:48 11.584 FIND.EXE-0EEAD1A7.pf
04.11.2007 19:48 49.566 CMD.EXE-034B0549.pf
04.11.2007 19:48 17.004 NOTEPAD.EXE-2F2D61E1.pf
04.11.2007 19:47 73.450 WINRAR.EXE-30744526.pf
04.11.2007 19:47 14.716 VERCLSID.EXE-28F52AD2.pf
04.11.2007 19:43 30.320 MSOHELP.EXE-348E597F.pf
04.11.2007 19:37 23.492 EXCEL.EXE-0B2F7C29.pf
04.11.2007 19:36 34.440 WINWORD.EXE-3A00FFE0.pf
04.11.2007 19:33 72.694 EXPLORER.EXE-02121B1A.pf
04.11.2007 19:32 18.742 LUCALLBACKPROXY.EXE-07F3A027.pf
04.11.2007 19:32 33.134 AUPDATE.EXE-30592B33.pf
04.11.2007 19:32 48.814 LUCOMS~1.EXE-349C42D7.pf
04.11.2007 19:31 79.258 IEXPLORE.EXE-0D3578F3.pf
04.11.2007 19:27 22.170 SSAUTORN.EXE-074DF210.pf
04.11.2007 19:02 32.220 GMER.EXE-39A1B975.pf
04.11.2007 18:49 52.372 DFRGNTFS.EXE-38C3807C.pf
04.11.2007 18:49 17.738 DEFRAG.EXE-2858C7E2.pf
04.11.2007 18:49 291.844 Layout.ini
04.11.2007 17:34 53.804 WMIPRVSE.EXE-0D449B4F.pf
04.11.2007 17:31 15.290 SYMLCSVC.EXE-0B7484E4.pf
04.11.2007 17:20 101.160 WUAUCLT.EXE-1360D60A.pf
04.11.2007 17:01 6.090 CHCP.COM-17EDBDC9.pf
04.11.2007 16:41 44.074 IEDW.EXE-2FB5447A.pf
04.11.2007 16:33 78.620 ACRORD32INFO.EXE-042A4E29.pf
04.11.2007 15:43 20.080 CATCHME.CFEXE-20352551.pf
04.11.2007 15:43 43.712 DUMPHIVE.CFEXE-04BE9822.pf
04.11.2007 15:43 29.814 CSCRIPT.EXE-0A13A05C.pf
04.11.2007 15:43 3.854 SED.CFEXE-019B7AC0.pf
04.11.2007 15:43 12.888 FINDSTR.EXE-1A4FC238.pf
04.11.2007 15:43 13.398 NIRCMD.CFEXE-00BC64DF.pf
04.11.2007 15:43 14.070 REG.EXE-07FA5B3F.pf
04.11.2007 15:43 6.228 GREP.CFEXE-25FF7687.pf
04.11.2007 15:43 5.118 VFIND.CFEXE-25A8AB4B.pf
04.11.2007 15:42 7.596 SWREG.CFEXE-19E71DFD.pf
04.11.2007 15:42 5.908 MTEE.CFEXE-283D2AF9.pf
04.11.2007 15:39 9.676 NIRCMD.EXE-2306D810.pf
04.11.2007 14:26 31.596 WMIADAP.EXE-32F99497.pf
04.11.2007 14:23 57.660 ALG.EXE-275708CF.pf
04.11.2007 14:23 1.525.468 NTOSBOOT-B00DFAAD.pf
04.11.2007 14:14 20.466 LOGONUI.EXE-312BE1BF.pf
40 Datei(en) 3.030.128 Bytes
mehr war hier nicht



Verzeichnis von C:\WINDOWS

04.11.2007 19:02 250 gmer.ini
04.11.2007 19:02 80 gmer_uninstall.cmd
04.11.2007 19:02 585.791 gmer.dll
04.11.2007 17:20 81.050 WindowsUpdate.log
04.11.2007 14:22 0 0.log
04.11.2007 14:22 159 wiadebug.log
04.11.2007 14:22 50 wiaservc.log
04.11.2007 14:22 3.374.971 {00000000-00000000-0000000D-00001102-00000002-80651102}.BAK
04.11.2007 14:22 3.374.971 {00000000-00000000-0000000D-00001102-00000002-80651102}.CDF
04.11.2007 14:21 2.048 bootstat.dat
04.11.2007 14:14 1.100 SchedLgU.Txt
04.11.2007 11:29 50 Lic.xxx
04.11.2007 11:29 89 win.ini
04.11.2007 00:22 67.052 KB939653-IE7.log
04.11.2007 00:21 28.025 updspapi.log
03.11.2007 23:29 32 pavsig.txt
03.11.2007 22:40 1.289 VFO.INI
03.11.2007 22:37 352 attach.log
03.11.2007 21:17 6.239 spupdsvc.log
03.11.2007 21:14 24.582 ie7_main.log
03.11.2007 21:13 47.631 ie7.log
03.11.2007 21:13 7.502 IDNMitigationAPIs.log
03.11.2007 21:12 24.423 setupapi.log
03.11.2007 21:12 7.550 NLSDownlevelMapping.log
03.11.2007 21:12 0 setuperr.log
03.11.2007 21:12 0 setupact.log
03.11.2007 21:12 4.888 KB915865.log
03.11.2007 09:54 0 Sti_Trace.log
02.11.2007 23:38 0 system.ini
02.11.2007 21:19 116 NeroDigital.ini
29.10.2007 18:56 136.192 catchme.exe
18.10.2007 19:55 32 CD-Start.INI
18.10.2007 18:56 17 Missing.ini
16.08.2007 20:14 5.011 Ascd_tmp.ini
21.07.2007 19:30 0 WATCH.INI
29.06.2007 09:38 581.632 gmer.exe





Verzeichnis von C:\WINDOWS\tasks

04.11.2007 14:22 6 SA.DAT
22.10.2007 19:13 656 Norton Internet Security - Systemprfung ausfhren - Bond.job
26.09.2007 15:56 276 AppleSoftwareUpdate.job
02.04.2003 13:00 65 desktop.ini
4 Datei(en) 1.003 Bytes
0 Verzeichnis(se), 4.756.643.840 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 80B2-45BE

Verzeichnis von C:\WINDOWS\temp

04.11.2007 17:31 58.736 symlcsv1.exe
04.11.2007 14:22 16.384 Perflib_Perfdata_864.dat
2 Datei(en) 75.120 Bytes
0 Verzeichnis(se), 4.756.643.840 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 80B2-45BE

Verzeichnis von C:\DOKUME~1\Bond\LOKALE~1\Temp

04.11.2007 19:48 120.533 filelist.txt
1 Datei(en) 120.533 Bytes
0 Verzeichnis(se), 4.756.643.840 Bytes frei

Sunny 04.11.2007 20:07
Deine neue To-Do-Liste hast du hoffentlich gesehen?! ;)

kimis 04.11.2007 20:12
Ähhhm, ja nun, ok, gewonnen.

Ich hab das gerade mit dem Avenger probiert, doch ich erhalte eine fehlermeldung: Selected files doesnot appear to be a valid script

zweite meldeung continue oder cancel.....

hmmmmm. hab ich was falsch gemacht?:confused:

Sunny 04.11.2007 20:17
Hast du auch den gesamten Text hier abkopiert:

Zitat:

Files to delete:
C:\DOKUME~1\Bond\LOKALE~1\Temp\catchme.sys
C:\WINDOWS\system32\cdfvie.dll
C:\WINDOWS\system32\drivers\iwwuioxy.dat
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
Versuch es einfach nochmal, wiedehole es wenn nötig.

kimis 04.11.2007 20:24
...hab es erneut probiert;Nochmal runtergeladen; den text mit strv c & v

aber nichts.......gleiche fehlermeldung

:mad::mad::mad::mad:

Sunny 04.11.2007 20:32
Gut :schmoll: dann mit einem anderen Programm:



Killbox

Installiere das Programm auf deinem Desktop -> Killbox

-Starte es mit Doppelklick
-klick die Funktion -> "delete on reboot"

http://virus-protect.org/artikel/bilder/killbox.png


-kopiere diesen Dateipfad in das weiße Feld unter: Full Path

Zitat:
C:\DOKUME~1\Bond\LOKALE~1\Temp\catchme.sys
-dann auf das rote X klicken, die Frage "... want to reboot" mit No beantworten!
-kopiere nun immer einen Pfad nacheinander in das weíße Feld, erst nach der letzten Datei die Frage des Neustarts mit "Yes" beantworten:

Zitat:
C:\WINDOWS\system32\cdfvie.dll

C:\WINDOWS\system32\drivers\iwwuioxy.dat

C:\WINDOWS\system32\iifgfgf.dll

C:\WINDOWS\rundll16.exe

C:\WINDOWS\rundl132.dll

C:\WINDOWS\logo1_.exe
-nach dem Neustart diesen Ordner aufsuchen -> C:\!KillBox
und alle dort befindlichen Dateien manuell löschen.

Überprüfe danach das System mit Kaspersky,
starte dafür deinen Internet Explorer und klick auf diesen Link -> Online Viren-Scanner

kimis 04.11.2007 20:51
:kloppen: und weg......
hier das log:
Pocket Killbox version 2.0.0.881
Running on Windows XP as Bond(Administrator)
was started @ Sonntag, November 04, 2007, 8:38 PM

# 1 [Delete on Reboot]
Path = C:\DOKUME~1\Bond\LOKALE~1\Temp\catchme.sys


# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\cdfvie.dll


# 3 [Delete on Reboot]
Path = C:\WINDOWS\system32\drivers\iwwuioxy.dat


# 4 [Delete on Reboot]
Path = C:\WINDOWS\system32\iifgfgf.dll


# 5 [Delete on Reboot]
Path = C:\WINDOWS\rundll16.exe


# 6 [Delete on Reboot]
Path = C:\WINDOWS\rundl132.dll


# 7 [Delete on Reboot]
Path = C:\WINDOWS\logo1_.exe


Killbox Closed(Exit) @ 8:41:46 PM
__________________________________________



...doch in dem ordner war nur eine datei: cdfvie.dll mehr nicht.



ich laß jetzt als nächstes den viren scan von deinem link laufen......


c u

Sunny 04.11.2007 20:54
Und genau da liegt das Provlem, das Tool Avenger hätte die anderen Dateien auch gefunden und gelöscht. Killbox ist leider nicht so ganz gründlich.

Aber mach erstmal den Scan bei Kaspersky, vielleicht werden wir danach schlauer. ;)

kimis 04.11.2007 21:03
.....ist da jetzt nur die eine Datei weg?

soll ich nach dem scan jede einzelne datei dann mal eingeben und jedes mal den pc neu booten?


........

Sunny 04.11.2007 21:06
Zitat:
Zitat von kimis (Beitrag 303165)
.....ist da jetzt nur die eine Datei weg?

soll ich nach dem scan jede einzelne datei dann mal eingeben und jedes mal den pc neu booten?


........
Hast du auch wirklich alle Dateien nacheinander in das weiße Feld kopiert?
Wenn ja, dann versuch es mal mit jeder einzelnen Datei.
In dem Ordner -> C:\!Killbox werden nach dem Neustart alle Datei kopiert welche gelöscht werden sollten, als Art Qurantäne. ;)

kimis 04.11.2007 22:43
Hi,
hier ist nun die Log von Kaspersky. Doch das wiegt mich nicht unbedingt in Sicherheit, da ich Northon drauf hatte und der auch vorher nichts gefunden hat.
wie auch immer....no comment.
Ich werde jetzt noch jede einzelne datei zum löschen mit dem prog eingeben und neu starten....

ach hier die log: ist die ok?


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 4. November 2007 22:28:10
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 4/11/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 451549
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
C:\
D:\
E:\
F:\
G:\
S:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 75860
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:08:47

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2007-11-04_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBConfig.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBDebug.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBDetect.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBNotify.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBRefr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetCfg.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetCfg2.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetDev.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetLoc.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetUsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBStHash.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBValid.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtErEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\DBDA95A7.TMP Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtMoEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtNvEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtScEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtTxFEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtViEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SubEng\submissions.idx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Bond\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Bond\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Bond\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Bond\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Bond\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Bond\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Bond\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EPERSIST.DAT Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\NFWEVT.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{14D3D737-4A8B-4CC0-A038-165C12F7F5AB}\RP8\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{A54C799E-2119-4555-B09C-6E0EC18025EF}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_850.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\programme\FRITZ!DSL\access\access.lock Das Objekt ist gesperrt übersprungen
E:\programme\Norton Internet Security\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen
E:\programme\Norton Internet Security\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen
E:\programme\Norton Internet Security\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\master.mdf Das Objekt ist gesperrt übersprungen
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\mastlog.ldf Das Objekt ist gesperrt übersprungen
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\model.mdf Das Objekt ist gesperrt übersprungen
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\modellog.ldf Das Objekt ist gesperrt übersprungen
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\PinnacleSys_GlobalContext.mdf Das Objekt ist gesperrt übersprungen
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\PinnacleSys_GlobalContext_log.LDF Das Objekt ist gesperrt übersprungen
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\tempdb.mdf Das Objekt ist gesperrt übersprungen
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\templog.ldf Das Objekt ist gesperrt übersprungen
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\LOG\ERRORLOG Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
G:\Temporäre Internetdateien\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
G:\Temporäre Internetdateien\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
S:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

kimis 04.11.2007 23:12
meno, ich habe erneut mal nach allen "zu löschenden" Datei suchen lassen. alle waren weg bis auf: cdfvie.dll ich habe killbox nochmal laufen lassen doch:

Pocket Killbox version 2.0.0.881
Running on Windows XP as Bond(Administrator)
was started @ Sonntag, November 04, 2007, 10:58 PM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\cdfvie.dll


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 10:59:23 PM
# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\cdfvie.dll


Killbox Closed(Exit) @ 10:59:39 PM
________________________________________



Diese datei läßt sich wohl nicht so leicht wegmachen....???:confused:


in dem Verzeichnis ist noch ein ähnliche datei: cdfvie.2 ??


Super :-((
die datei hab ich durch den virus total laufen lassen, nun es ist eine kopie davon. Ich hab mit sicherheit keine gemacht;-)

Soll ich es mal im abgesicherten Modus löschen, oder sonst was.. Ich bin in der sache völlig hilflos......

AhnLab-V3 2007.11.3.0 2007.11.02 -
AntiVir 7.6.0.30 2007.11.04 -
Authentium 4.93.8 2007.11.03 -
Avast 4.7.1074.0 2007.11.04 Win32:Agent-MVI
AVG 7.5.0.503 2007.11.04 -
BitDefender 7.2 2007.11.04 -
CAT-QuickHeal 9.00 2007.11.03 -
ClamAV 0.91.2 2007.11.04 -
DrWeb 4.44.0.09170 2007.11.04 Trojan.Sentinel
eSafe 7.0.15.0 2007.10.28 Suspicious File
eTrust-Vet 31.2.5264 2007.11.02 -
Ewido 4.0 2007.11.04 -
FileAdvisor 1 2007.11.04 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.03 W32/Downloader.F.gen!Eldorado
F-Secure 6.70.13030.0 2007.11.04 -
Ikarus T3.1.1.12 2007.11.04 -
Kaspersky 7.0.0.125 2007.11.04 -
McAfee 5155 2007.11.02 -
Microsoft 1.2908 2007.11.04 -
NOD32v2 2636 2007.11.03 -
Norman 5.80.02 2007.11.02 -
Panda 9.0.0.4 2007.11.04 Suspicious file
Prevx1 V2 2007.11.04 -
Rising 20.16.62.00 2007.11.04 -
Sophos 4.23.0 2007.11.04 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.04 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.11.03 -
VirusBuster 4.3.26:9 2007.11.04 -
Webwasher-Gateway 6.6.1 2007.11.04 Worm.Win32.Malware.gen!88 (suspicious)
File size: 108698 bytes

Der Kaspersky ist auch locker darüber hinweg......

kimis 05.11.2007 20:38
Klopf klopf.......

stehe da und zucke mit den achseln.......

kimis 05.11.2007 22:06
Hat niemand mehr Ideen, wie ich den kram runterbekomme???

Eine frustierte Pc userin

Sunny 06.11.2007 20:36
Otmoveit

*hier die Software runterladen auf den Desktop -> http://download.bleepingcomputer.com...r/OTMoveIt.exe
*mit einem Doppelklick starten, du siehst nun folgendes Fenster:


http://cybertrash.pl/images/tata/OTMoveIt/1.gif

Füge in das weiße Feld (Paste List..) folgenden Text ein:

Zitat:
C:\WINDOWS\system32\cdfvie.dll
*nun auf den Button -> Move it klicken...
*rechts in diesem Fenster steht dann die Resultat was geschehen ist, kopiere diese ab und füge sie in deinen nächsten Beitrag ein:

http://cybertrash.pl/images/tata/OTMoveIt/3.gif


Danach das System neu starten und dann das:


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

kimis 06.11.2007 20:51
Danke Sunny, das Du wieder da bist:aplaus::aplaus::aplaus:

hier der erster Schritt:

DllUnregisterServer procedure not found in C:\WINDOWS\system32\cdfvie.dll
C:\WINDOWS\system32\cdfvie.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\cdfvie.dll scheduled to be moved on reboot.

Created on 11.06.2007 20:49:22

gleich kommt rest.

kimis 06.11.2007 21:02
....nun die FileList logs....

Verzeichnis von C:\WINDOWS\system32

06.11.2007 20:52 30.276 BMXBkpCtrlState-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
06.11.2007 20:52 30.276 BMXCtrlState-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
06.11.2007 20:52 17.596 BMXStateBkp-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
06.11.2007 20:52 17.596 BMXState-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
06.11.2007 20:52 1.080 settingsbkup.sfm
06.11.2007 20:52 1.080 settings.sfm
06.11.2007 20:52 24 DVCState-{00000000-00000000-0000000D-00001102-00000002-80651102}.dat
06.11.2007 20:52 24 DVCStateBkp-{00000000-00000000-0000000D-00001102-00000002-80651102}.dat
06.11.2007 20:50 418.454 perfh009.dat
06.11.2007 20:50 69.902 perfc009.dat
06.11.2007 20:50 432.954 perfh007.dat
06.11.2007 20:50 82.604 perfc007.dat
06.11.2007 20:50 1.017.602 PerfStringBackup.INI
04.11.2007 14:24 2.422 wpa.dbl
03.11.2007 23:29 2.550 Uninstall.ico
03.11.2007 23:29 1.406 Help.ico
03.11.2007 23:29 30.590 pavas.ico
01.11.2007 22:05 0 asfiles.txt
30.10.2007 19:55 625.032 SymNeti.dll
30.10.2007 19:55 242.056 SymRedir.dll
28.10.2007 19:50 137.256 FNTCACHE.DAT
28.10.2007 19:41 129.082 TZLog.log
04.10.2007 19:17 60.800 S32EVNT1.DLL
27.09.2007 22:19 18.089.592 MRT.exe



Verzeichnis von C:\WINDOWS\Prefetch

06.11.2007 20:57 11.802 FIND.EXE-0EEAD1A7.pf
06.11.2007 20:57 11.848 CMD.EXE-034B0549.pf
06.11.2007 20:56 85.056 IEXPLORE.EXE-0D3578F3.pf
06.11.2007 20:56 83.264 EXPLORER.EXE-02121B1A.pf
06.11.2007 20:55 30.124 WMIPRVSE.EXE-0D449B4F.pf
06.11.2007 20:55 135.578 WUAUCLT.EXE-1360D60A.pf
06.11.2007 20:55 63.660 ALG.EXE-275708CF.pf
06.11.2007 20:55 4.496 CVTRES.EXE-16681F8A.pf
06.11.2007 20:55 1.049.658 NTOSBOOT-B00DFAAD.pf
06.11.2007 20:52 18.054 LOGONUI.EXE-312BE1BF.pf
06.11.2007 20:51 40.228 IEDW.EXE-2FB5447A.pf
06.11.2007 20:51 65.670 LUCALLBACKPROXY.EXE-07F3A027.pf
06.11.2007 20:51 42.108 AUPDATE.EXE-30592B33.pf
06.11.2007 20:51 54.496 LUCOMS~1.EXE-349C42D7.pf
06.11.2007 20:50 32.486 WMIADAP.EXE-32F99497.pf
06.11.2007 20:49 15.282 OTMOVEIT.EXE-1ECCC8B8.pf
06.11.2007 20:48 50.264 CSC.EXE-22F6101C.pf
06.11.2007 20:33 58.644 MCUI32.EXE-390443F0.pf
06.11.2007 20:27 37.492 MSIEXEC.EXE-330626DC.pf
06.11.2007 20:26 10.574 IDSINST.EXE-25C1192F.pf
06.11.2007 20:25 23.730 SETUP.EXE-28DFFEE8.pf
06.11.2007 20:24 47.906 LUALL.EXE-07D61289.pf
06.11.2007 20:24 20.940 NOTIFYHA.EXE-3734878F.pf
06.11.2007 19:36 13.410 SYMLCSVC.EXE-3A8251B9.pf
06.11.2007 18:17 19.076 DFRGNTFS.EXE-38C3807C.pf
06.11.2007 18:17 15.890 DEFRAG.EXE-2858C7E2.pf
06.11.2007 18:17 222.130 Layout.ini
06.11.2007 17:42 30.562 SSAUTORN.EXE-074DF210.pf
06.11.2007 17:28 28.540 ALUNOTIFY.EXE-1BA79D6A.pf
06.11.2007 17:27 59.554 RUNDLL32.EXE-64F1A45B.pf
06.11.2007 17:23 11.894 SYMLCSVC.EXE-0B7484E4.pf
06.11.2007 17:23 9.374 SYMLCSV1.EXE-372FCD26.pf
06.11.2007 17:23 72.826 PMSHOST.EXE-02C43335.pf
05.11.2007 22:54 7.840 INSTLSP.EXE-2594B255.pf
05.11.2007 22:53 20.932 FWEBPROT.EXE-03F9A9B2.pf
05.11.2007 22:53 27.942 STCENTER.EXE-17D4416F.pf
05.11.2007 22:53 17.688 FBOXUPD.EXE-287029A8.pf
05.11.2007 22:49 18.384 CONTROL.EXE-24FBF8B3.pf
05.11.2007 22:49 25.838 RUNDLL32.EXE-3D540BCC.pf
05.11.2007 22:48 40.500 RSTRUI.EXE-05C31B56.pf
05.11.2007 22:48 29.358 RUNDLL32.EXE-6E0E3853.pf
05.11.2007 22:40 20.954 HIJACKTHIS.EXE-1686A3EE.pf
05.11.2007 22:31 8.494 DRWTSN32.EXE-01DDCF15.pf
05.11.2007 22:31 8.870 DWWIN.EXE-2C373FB7.pf
05.11.2007 22:30 23.878 KILLBOX.EXE-1964D24F.pf
05.11.2007 22:29 18.538 AVENGER.EXE-08CE4F12.pf
05.11.2007 22:22 15.564 NOTEPAD.EXE-2F2D61E1.pf
05.11.2007 22:17 19.652 REGSVR32.EXE-396DEA2C.pf


Verzeichnis von C:\WINDOWS

06.11.2007 20:55 133.157 WindowsUpdate.log
06.11.2007 20:54 0 0.log
06.11.2007 20:54 159 wiadebug.log
06.11.2007 20:54 50 wiaservc.log
06.11.2007 20:54 3.374.971 {00000000-00000000-0000000D-00001102-00000002-80651102}.BAK
06.11.2007 20:54 3.374.971 {00000000-00000000-0000000D-00001102-00000002-80651102}.CDF
06.11.2007 20:54 2.048 bootstat.dat
06.11.2007 20:52 3.044 SchedLgU.Txt
05.11.2007 22:09 50 Lic.xxx
05.11.2007 20:55 89 win.ini
05.11.2007 20:55 0 system.ini
04.11.2007 22:57 250 gmer.ini
04.11.2007 19:02 585.791 gmer.dll
04.11.2007 19:02 80 gmer_uninstall.cmd
03.11.2007 23:29 32 pavsig.txt
03.11.2007 22:40 1.289 VFO.INI
03.11.2007 09:54 0 Sti_Trace.log
02.11.2007 21:19 116 NeroDigital.ini
29.10.2007 18:56 136.192 catchme.exe
18.10.2007 19:55 32 CD-Start.INI
18.10.2007 18:56 17 Missing.ini
16.08.2007 20:14 5.011 Ascd_tmp.ini
21.07.2007 19:30 0 WATCH.INI
29.06.2007 09:38 581.632 gmer.exe


Verzeichnis von C:\WINDOWS\tasks

06.11.2007 20:54 6 SA.DAT
22.10.2007 19:13 656 Norton Internet Security - Systemprüfung ausführen - Bond.job
26.09.2007 15:56 276 AppleSoftwareUpdate.job
02.04.2003 13:00 65 desktop.ini
4 Datei(en) 1.003 Bytes


Verzeichnis von C:\WINDOWS\temp

06.11.2007 20:54 49.152 CompiledAdapter.dll
06.11.2007 20:54 16.384 Perflib_Perfdata_84c.dat

Verzeichnis von C:\DOKUME~1\Bond\LOKALE~1\Temp

06.11.2007 20:57 120.522 filelist.txt
06.11.2007 20:54 190 osCheck Vista Migration 2007-11-06 20h54m24s.log
06.11.2007 20:46 190 osCheck Vista Migration 2007-11-06 20h46m13s.log
06.11.2007 20:27 3.498 SNDSetup7.2.1.110.log
06.11.2007 20:27 335.482 SND_MSI_U_7.2.0.15.log
06.11.2007 20:27 4.833 SNDunin.log
06.11.2007 20:26 429.412 SND_MSI_I_7.2.1.110.log
06.11.2007 20:26 332 IDSinst.LOG
06.11.2007 17:21 190 osCheck Vista Migration 2007-11-06 17h21m48s.log
05.11.2007 22:54 49.152 ~DF9B65.tmp
05.11.2007 22:53 32.768 ~DF71E1.tmp
05.11.2007 22:34 190 osCheck Vista Migration 2007-11-05 22h34m47s.log
05.11.2007 22:31 17.912 dee1_appcompat.txt
05.11.2007 22:20 190 osCheck Vista Migration 2007-11-05 22h20m27s.log
05.11.2007 22:15 16.384 ~DF5B2E.tmp
05.11.2007 22:14 298.481 MWAV.LOG
05.11.2007 22:14 61.836 sfdb.dat
05.11.2007 22:13 82.764 MWAVC.LOG
05.11.2007 22:10 1.667 mwXface.log
05.11.2007 22:09 626.688 msvcr80.dll
05.11.2007 22:09 548.864 msvcp80.dll
05.11.2007 22:09 241.664 MYDB.DLL
05.11.2007 21:06 190 osCheck Vista Migration 2007-11-05 21h06m03s.log
05.11.2007 20:32 190 osCheck Vista Migration 2007-11-05 20h32m45s.log
04.11.2007 23:02 190 osCheck Vista Migration 2007-11-04 23h02m25s.log
04.11.2007 20:44 190 osCheck Vista Migration 2007-11-04 20h44m34s.log
30.10.2007 16:47 448.576 MWAVSCAN.COM
30.10.2007 16:47 448.576 mexe.com
30.10.2007 16:42 39.996 daily.avc
30.10.2007 16:42 28.525 avp.klb
30.10.2007 16:42 4.609 dailyc.avc
30.10.2007 16:30 11.638 English.con
30.10.2007 16:15 917 daily-ec.avc
30.10.2007 14:18 35.406 fa.avc
30.10.2007 14:18 743 daily-ex.avc
30.10.2007 14:18 31.470 ext009.avc
30.10.2007 14:18 58.378 base156.avc
30.10.2007 14:18 27.436 unp039.avc
30.10.2007 14:18 43.159 ext005c.avc
30.10.2007 14:18 64.169 base060c.avc
30.10.2007 14:18 18.107 fa001.avc
30.10.2007 14:18 156.749 krnmacro.avc
30.10.2007 14:18 120.392 krnunp.avc
30.10.2007 12:28 246.586 phupdn.txt
30.10.2007 12:13 18.427 global.daz
30.10.2007 12:13 71.513 phupdn.txz
29.10.2007 16:00 1.450.008 File2.sdb
29.10.2007 16:00 2.098.275 File1.sdb
29.10.2007 16:00 257.500 spydb.avs
29.10.2007 16:00 729.061 Dir.sdb
29.10.2007 16:00 257.500 spydb.old
29.10.2007 16:00 162.152 Spyware.sdb
29.10.2007 16:00 1.275.608 Cid.sdb
29.10.2007 15:02 91.771 Chinese.Age
29.10.2007 15:02 110.675 Icelandic.Age
29.10.2007 15:02 115.585 Polish.Age
29.10.2007 15:02 112.443 Finnish.Age
29.10.2007 15:02 116.740 French.Age
29.10.2007 15:02 115.630 Spanish.Age
29.10.2007 15:02 116.354 Spanishl.Age
29.10.2007 15:02 111.385 Romanian.Age
29.10.2007 15:02 123.926 Portuguese.Age
29.10.2007 15:02 122.996 Italian.Age
29.10.2007 15:02 125.772 language.ini
29.10.2007 15:02 125.772 German.Age
29.10.2007 10:33 75.678 unp007.avc
29.10.2007 10:33 64.818 unp016.avc
28.10.2007 16:05 171.008 esupdate.exe
28.10.2007 16:05 60.416 reload.exe
28.10.2007 14:50 39.936 unregx.exe
28.10.2007 14:45 1.974.272 msvl64.dll
28.10.2007 14:37 43.520 setpriv.exe
28.10.2007 14:32 155.648 msvlclnt.dll
28.10.2007 14:24 48.704 Getvlist.exe
27.10.2007 20:58 27.023 gen005.avc
27.10.2007 20:58 36.190 gen004.avc
27.10.2007 20:58 46.143 unp036.avc
27.10.2007 20:58 51.288 unp005.avc
27.10.2007 20:58 55.124 base144.avc
27.10.2007 20:58 49.867 base072.avc
27.10.2007 20:58 50.908 base029.avc
26.10.2007 11:17 3.974 avp_ext.set
26.10.2007 11:17 3.974 avp.set
26.10.2007 11:17 3.974 avp_x.set
26.10.2007 11:17 50.396 base155.avc
26.10.2007 11:17 50.563 base154.avc
26.10.2007 11:17 47.980 base002.avc
26.10.2007 11:17 50.073 base059c.avc
26.10.2007 11:17 50.489 base057c.avc
26.10.2007 11:17 50.368 base058c.avc
26.10.2007 11:17 49.385 base056c.avc
26.10.2007 11:17 50.158 base055c.avc
26.10.2007 11:17 49.874 base054c.avc
25.10.2007 16:46 1.332 esupd.ini
25.10.2007 12:20 30.277 unp024.avc
25.10.2007 12:20 49.097 base021.avc
25.10.2007 12:20 52.452 unp011.avc
25.10.2007 12:20 48.461 base016.avc
25.10.2007 12:20 48.703 base006.avc
24.10.2007 18:35 49.795 base042.avc
24.10.2007 18:32 52.106 English.Age
24.10.2007 10:56 14.755 ext999.avc
24.10.2007 10:56 79.893 ca.avc
24.10.2007 10:56 34.163 unp012.avc
24.10.2007 10:56 49.492 base032.avc
24.10.2007 10:56 40.216 krn004.avc
23.10.2007 15:04 48.732 unp009.avc
23.10.2007 15:04 49.124 base004.avc
23.10.2007 15:04 48.850 base009.avc
23.10.2007 15:04 49.501 base026.avc
22.10.2007 12:06 49.463 base031.avc
22.10.2007 09:57 47.750 base038.avc
22.10.2007 09:57 48.791 base013.avc
21.10.2007 14:34 63.800 unp023.avc
21.10.2007 14:34 53.920 unp003.avc
21.10.2007 14:34 54.423 unp008.avc
21.10.2007 14:34 46.579 unp001.avc
21.10.2007 14:34 50.102 base022.avc
21.10.2007 14:34 48.880 base011.avc
21.10.2007 14:34 48.522 base017.avc
20.10.2007 12:50 49.258 base037.avc
20.10.2007 12:50 49.035 base033.avc
20.10.2007 12:50 48.939 base030.avc
20.10.2007 12:50 48.606 base010.avc
20.10.2007 12:50 32.195 krnexe.avc
20.10.2007 12:26 906 MicroWorld Toolkit Utility.txt
19.10.2007 16:43 42.229 unp032.avc
19.10.2007 16:43 61.949 unp019.avc
19.10.2007 16:43 47.853 base087.avc
19.10.2007 16:43 49.620 base001.avc
18.10.2007 17:40 35.946 unp025.avc
18.10.2007 17:40 38.251 unp020.avc
18.10.2007 17:40 54.238 unp015.avc
17.10.2007 10:40 49.993 base145.avc
17.10.2007 10:40 43.404 krnengn.avc
16.10.2007 20:06 25.915 unp004.avc
15.10.2007 16:41 50.188 base039.avc
14.10.2007 18:54 42.247 unp022.avc
11.10.2007 10:28 48.825 unp034.avc
11.10.2007 10:28 13.584 kernel.avc
09.10.2007 11:42 48.257 unp037.avc
09.10.2007 11:42 40.706 unp031.avc
09.10.2007 11:42 55.741 unp006.avc
09.10.2007 11:42 23.526 unp000.avc
09.10.2007 11:42 50.368 base150.avc
09.10.2007 11:42 47.952 base139.avc
09.10.2007 11:42 50.363 base142.avc
09.10.2007 11:42 49.237 base088.avc
09.10.2007 11:42 52.973 base095.avc
09.10.2007 11:42 49.821 base082.avc
09.10.2007 11:42 49.254 base073.avc
09.10.2007 11:42 50.527 base081.avc
09.10.2007 11:42 49.605 base058.avc
09.10.2007 11:42 50.134 base056.avc
09.10.2007 11:42 49.114 base055.avc
09.10.2007 11:42 50.729 base051.avc
09.10.2007 11:42 49.350 base046.avc
09.10.2007 11:42 47.119 base028.avc
09.10.2007 11:42 46.280 base027.avc
09.10.2007 11:42 50.160 base023.avc
09.10.2007 11:42 49.095 base018.avc
09.10.2007 11:42 50.044 base045c.avc
05.10.2007 10:03 48.943 unp030.avc
05.10.2007 10:03 49.509 unp027.avc
05.10.2007 10:03 40.004 unp026.avc
05.10.2007 10:03 49.964 base153.avc
05.10.2007 10:03 68.103 unp002.avc
05.10.2007 10:03 50.103 base141.avc
05.10.2007 10:03 48.302 base014.avc
05.10.2007 10:03 50.444 base053c.avc
05.10.2007 10:03 50.098 base052c.avc
05.10.2007 10:03 50.000 base020c.avc
03.10.2007 10:17 48.583 unp038.avc
03.10.2007 10:17 48.701 unp033.avc
03.10.2007 10:17 50.002 base127.avc
03.10.2007 10:17 49.630 base068.avc
03.10.2007 10:17 49.994 base039c.avc
03.10.2007 10:17 103.182 krn005.avc
01.10.2007 17:55 50.365 base038c.avc
01.10.2007 17:55 50.529 base037c.avc
28.09.2007 10:04 55.805 unp014.avc
28.09.2007 10:04 50.576 base146.avc


:rolleyes:

kimis 08.11.2007 08:48
Hallo,

schade eigentlich, das keine weitere Hilfe kam. Ich rechne es auch an, das mir zumindest versucht wurde zu helfen....ich lieferte alle Angaben recht prompt..

....doch die Sache einfach ausschweigen ist eigentlich keine Art.

ordell1234 08.11.2007 12:58
Man mags kaum glauben, aber die Mitarbeit hier ist kein Fulltimejob, sie ist überhaupt kein job. Und nur weil du Angaben prompt lieferst, heißt das nicht, dass die Helfer das weiße Kaninchen aus dem Hut zaubern. back to topic:

neuer Versuch, neues Glück: Füge
Code:
Files to replace with dummy:
C:\WINDOWS\system32\cdfvie.dll
manuell als script bei Avenger ein, das Prozedere kennst du.

Lass anschließend Registry Search laufen, suche nach "cdfvie.dll" und poste das log. Und weils so einfach ist, lade dir Blacklight, mach den scan und poste bitte auch dieses log. Schaun mer mal.

kimis 09.11.2007 22:12
Hallo ordell1234,

ja, vielleicht hast du recht mit "fulltime Job" Ich habe halt keine Erfahrung mit Boards& Co., oder wie schnell was geht oder nicht. Dennoch danke, dass du dabei geblieben bist...:Boogie:


DAs PRog Avenger geht nicht bei mir. Da kommt ´ne Fehlermeldung: Error:selected file does not appear to be a valid script. dies habe ich schon mal geschrieben.

Und hier ist das Log aus Registry Search:



Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 09.11.2007 21:37:01 for strings:
; 'cdfvie.dll'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8AC5989-74D4-445F-A2EE-9B3AB8E198F6}\InprocServer32]
@="C:\\WINDOWS\\system32\\cdfvie.dll"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"a"="C:\\WINDOWS\\system32\\cdfvie.dll"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"a"="C:\\WINDOWS\\system32\\cdfvie.dll"

; End Of The Log...




Hier kommt Black Light

11/09/07 22:03:34 [Info]: BlackLight Engine 1.0.67 initialized
11/09/07 22:03:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/09/07 22:03:34 [Note]: 7019 4
11/09/07 22:03:34 [Note]: 7005 0
11/09/07 22:03:42 [Note]: 7006 0
11/09/07 22:03:42 [Note]: 7011 640
11/09/07 22:03:42 [Note]: 7026 0
11/09/07 22:03:42 [Note]: 7026 0
11/09/07 22:03:46 [Note]: FSRAW library version 1.7.1024
11/09/07 22:11:10 [Note]: 7007 0

ordell1234 10.11.2007 16:46
Zitat:
Zitat von kimis (Beitrag 304147)
DAs PRog Avenger geht nicht bei mir. Da kommt ´ne Fehlermeldung: Error:selected file does not appear to be a valid script. dies habe ich schon mal geschrieben.
Ich weiß ;). War auch nur ein Versuch.

Gut, also da muss schwereres Gerät ran:

1. Übersehen habe ich die mysteriöse C:\WINDOWS\system32\drivers\iwwuioxy.dat. Starte registry search und suche nach iwwuioxy.dat. Poste bitte die Fundstellen, sofern vorhanden.

2. Lade dir den ERD-Commander, installiere die msi, gehe zu "C:\Programme\Microsoft Diagnostics and Recovery Toolset", brenne die erd50.iso als Image auf CD und starte den Rechner von dieser boot-CD neu.

3. Suche C:\WINDOWS\system32\drivers\iwwuioxy.dat und C:\WINDOWS\system32\cdfvie.dll und verschiebe sie nach c:\ (Rechtsklick auf die Dateien -> move to). Nenne die Dateien jeweils in .ren um.

4. Öffne den Registryeditor (Start-Administrative tools - Registry Editor) und lösche den Schlüssel

-[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8AC598 9-74D4-445F-A2EE-9B3AB8E198F6}

5. Starte neu und versuche die unter c:\ gespeicherte iwwuioxy.ren bei virustotal hochzuladen. Poste auch ein neues HJT-log.

Insgesamt habe ich bei der Aktion Bauchschmerzen. Aus deinen logs werde ich ehrlich gesagt nicht so recht schlau; warum die popelige cdfvie.dll so hartnäckig ist, erschließt sich mir nicht, dass Avenger nicht funktioniert ist ebenfalls kein gutes Zeichen. Vielleicht solltest du Neuaufsetzen. Geht nicht nur schneller, ist auf jeden Fall die sicherste Lösung. Deine Entscheidung. Gruß

PS: Sollte die Löschaktion über ERD erfolgreich gewesen sein, kannste ja mal probieren, ob Avenger wieder läuft. Einfach ne leere Textdatei unter C:\ erstellen und in ein script schreiben:

Files to delete:
C:\ deinetxt.txt

kimis 10.11.2007 18:34
Hi Hi,

hier der Reg-Log:
ndows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.11.2007 18:27:34 for strings:
; 'iwwuioxy.dat'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gbtwjtet]
; Contents of value:
; system32\drivers\iwwuioxy.dat
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,69,00,77,00,77,00,75,00,69,00,6f,\
00,78,00,79,00,2e,00,64,00,61,00,74,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\gbtwjtet]
; Contents of value:
; system32\drivers\iwwuioxy.dat
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,69,00,77,00,77,00,75,00,69,00,6f,\
00,78,00,79,00,2e,00,64,00,61,00,74,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gbtwjtet]
; Contents of value:
; system32\drivers\iwwuioxy.dat
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,69,00,77,00,77,00,75,00,69,00,6f,\
00,78,00,79,00,2e,00,64,00,61,00,74,00,00,00

; End Of The Log...



Danke das du noch dabei bist.:aplaus:

info zum rest folgt

kimis 10.11.2007 20:30
Hallo,
das mit ERD ging. die Datei gab es da zwei mal: cdfvie.dee & *cdfvie.dll. Ich habe beide verschoben. Dateien wurden verschoben und übers VirusTotal. Habe auch die iwwuioxy.dat verschoben. Den schlüssel gelöscht.

Ich frage mich auch. Mein Northon hat es nicht erkann. Der Online Kaspersky ebenso nicht. Ob der PC dann suaber ist? Ich frage mich auch, wie ist der draufgekommen? ich schaute auf das Datum der Datei: Es ist genau das Datum, wo ich mich nach 3 Wochen wieder ins netz einwählte, da ich den Provider gewechselt habe. Vielleicht war das auch ein Abschiedsgeschenk von 1&...
hier das ergebnis des scans: merkwürdig: hier sind parr Jungs dazu gekommen.....???
das ist jetzt die cdfvie.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.10.0 2007.11.09 -
AntiVir 7.6.0.34 2007.11.09 TR/Crypt.Morphine.Gen
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.10 -
AVG 7.5.0.503 2007.11.10 Obfustat.VNX
BitDefender 7.2 2007.11.10 -
CAT-QuickHeal 9.00 2007.11.10 -
ClamAV 0.91.2 2007.11.10 -
DrWeb 4.44.0.09170 2007.11.10 Trojan.Sentinel
eSafe 7.0.15.0 2007.11.08 Suspicious File
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.10 -
FileAdvisor 1 2007.11.10 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.09 W32/Downloader.F.gen!Eldorado
F-Secure 6.70.13030.0 2007.11.10 -
Ikarus T3.1.1.12 2007.11.10 Trojan-Spy.Win32.BZub.btx
Kaspersky 7.0.0.125 2007.11.10 -
McAfee 5160 2007.11.09 -
Microsoft 1.3007 2007.11.10 -
NOD32v2 2651 2007.11.10 -
Norman 5.80.02 2007.11.09 -
Panda 9.0.0.4 2007.11.10 Suspicious file
Prevx1 V2 2007.11.10 -
Rising 20.17.52.00 2007.11.10 -
Sophos 4.23.0 2007.11.10 -
Sunbelt 2.2.907.0 2007.11.09 -
Symantec 10 2007.11.10 -
TheHacker 6.2.9.123 2007.11.10 -
VBA32 3.12.2.4 2007.11.08 -
VirusBuster 4.3.26:9 2007.11.10 -
Webwasher-Gateway 6.0.1 2007.11.10 Trojan.Crypt.Morphine.Gen
weitere Informationen
File size: 115200 bytes
MD5: 6b4bbabdcfbb1589d7da9d8970f99040
SHA1: a150955c86286844dde784e155d193853bb989e4
:pfui:

jetzt die cdfview.dll :headbang::headbang: ich hab hier wohl mist gemacht hab wohl eine Windows datei mitgelöscht.....egal hier der log, nur was sollich tun?:rolleyes:

allerdings mit dieser meldung:

0.91.2 2007.11.10 -
DrWeb 4.44.0.09170 2007.11.10 -
eSafe 7.0.15.0 2007.11.08 -
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.10 -
FileAdvisor 1 2007.11.10 No threat detected, but known vulnerabilities exist
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.09 -
F-Secure 6.70.13030.0 2007.11.10 -
Ikarus T3.1.1.12 2007.11.10 -
Kaspersky 7.0.0.125 2007.11.10 -
:(

jetzt die iwwuioxy.dat--->da ist ein Backdor rootkit drin??????
Ergebnis: 9/32 (28.13%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.10.0 2007.11.09 -
AntiVir 7.6.0.34 2007.11.09 TR/Rootkit.Gen
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.10 -
AVG 7.5.0.503 2007.11.10 -
BitDefender 7.2 2007.11.10 Backdoor.Ntrootkit.I
CAT-QuickHeal 9.00 2007.11.10 Rootkit.Agent.kt
ClamAV 0.91.2 2007.11.10 -
DrWeb 4.44.0.09170 2007.11.10 Trojan.Sentinel
eSafe 7.0.15.0 2007.11.08 -
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.10 -
FileAdvisor 1 2007.11.10 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.09 -
F-Secure 6.70.13030.0 2007.11.10 Rootkit.Win32.Agent.kt
Ikarus T3.1.1.12 2007.11.10 Backdoor.NtRootKit.I
Kaspersky 7.0.0.125 2007.11.10 Rootkit.Win32.Agent.kt
McAfee 5160 2007.11.09 -
Microsoft 1.3007 2007.11.10 -
NOD32v2 2651 2007.11.10 -
Norman 5.80.02 2007.11.09 -
Panda 9.0.0.4 2007.11.10 -
Prevx1 V2 2007.11.10 -
Rising 20.17.52.00 2007.11.10 Trojan.Win32.Agent.zsk
Sophos 4.23.0 2007.11.10 -
Sunbelt 2.2.907.0 2007.11.09 -
Symantec 10 2007.11.10 -
TheHacker 6.2.9.123 2007.11.10 -
VBA32 3.12.2.4 2007.11.08 -
VirusBuster 4.3.26:9 2007.11.10 -
Webwasher-Gateway 6.0.1 2007.11.10 Trojan.Rootkit.Gen
weitere Informationen
File size: 17792 bytes
MD5: 149abc29e2cccd1cd9a479a32bde0e3d
SHA1: 60006a627bf3cfc59690906bcf3fd71c79da6936


jetzt kommt noch hjt

kimis 10.11.2007 20:37
jetzt hjt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:48, on 10.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\CTsvcCDA.exe
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
E:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\taskmgr.exe
E:\programme\internet explorer\iexplore.exe
E:\programme\HiJackThis\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C8AC5989-74D4-445F-A2EE-9B3AB8E198F6} - (no file)
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] E:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "E:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193078511750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1187298317531
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - E:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - E:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - E:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - E:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 9185 bytes



...und wie schauts aus??

ordell1234 10.11.2007 20:51
Jackpot! Ein Kernelrootkit. Es gibt nur einen sinnvollen Weg: Rechner sofort vom Netz nehmen, alles plattmachen, anschließend sämtliche Passwörter und sonstige personenbezogen Daten ändern, die du im Netz verwendest.
Zitat:
Zitat von kimis (Beitrag 304231)
Ich frage mich auch. Mein Northon hat es nicht erkann. Der Online Kaspersky ebenso nicht.
Dein thread ist ein Lehrstück für die Unzulänglichkeit von Virenscannern.
Zitat:
Ob der PC dann suaber ist?
No way. Die Manipulationen auf deiner Kiste sind nicht mehr nachzuvollziehen.
Zitat:
Ich frage mich auch, wie ist der draufgekommen?
Durch dein Surf- und Downloadverhalten. Zusätzlich mußt du das Ding unwissentlich installiert haben. Google mal nach "Malte Wetz - Kompromittierung unvermeidbar?" Lesenswert ;). In den faq findest du auch eine Anleitung zum Neuaufsetzen mit weiterführenden links, die ebenfalls sehr informativ sind.

Grüße ordell

kimis 10.11.2007 21:04
Hallo,

von mir bekommst Du den nächsten Stern, für mich persönlich war Deine Antwort zwar nicht erfreulich, doch Erklärend.

Respekt und Danke! :aplaus: :aplaus: :aplaus:

ordell1234 10.11.2007 21:12
Noch eine Anmerkung: Da das Teil von zahlreichen Scannern derzeit nicht erkannt wird, achte bei der Neustallation unbedingt auf saubere Software. Finger weg von allem, was nicht zu 300% koscher ist. :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131