Trojaner PSW.onlinegames3.bap
 

Hallo,

Mein AVG meldet seit ein paar Tagen, jedes mal wenn ich Firefox starte dass er denn Trojaner PSW.onlinegames3.bap in: C://windows/system32/ntnfuji.dll gefunden hat. Hab schon mehrmals "Heal" geklickt. Die Warnung kommt aber nach jedem Neustart wieder!
Hab schon gegoogelt, aber noch nichts hilfreiches gefunden. Hoffe hier kann jemand helfen! Hier schon mal ein Hijackthis log:

Schon mal danke für euere Hilfe!

Chris1309

bitte abarbeiten:

oder für alle neuen abarbeiten

Noch was...
habe bereits vor 3 Tagen Malewarebytes laufen lassen. Dabei ist folgendes herrausgekommen:
Habe es gerade nochmal laufen lassen. Diesmal hat er nichts mehr gefunden.
AVG zeigt aber immer noch bei jedem öffnen von Firefox eine Warnung auf.

Die letzte war:

Trojan Horse PSW.onlinegames3.bky
in: Windows/System32/drivers/ntnxlmn.sys

Bin echt am verzweifeln!

Es handelt sich übrigends um ein Asus Notebook, Windows XP Professional Servicepack 3

Greets Chris

dein system ist nichtmehr zu retten du hast einen backdoorbot

da hilft nurnoch neuaufsetzen http://www.trojaner-board.de/51262-a...sicherung.html

mfg RushHour777

Oh no. Kann man da sonst wirklich gar nix machen? :headbang:

Naja...hilf wohl nix. aber trotzdem Danke!

ich weiß nicht genau warte bitte am besten bis ein anderer antwortet denn ich bin mir nicht sich ich meine ich hätte das schonmal in diesen fomum gesehen

mfg RushHour777

Rushhour, bilde Dich weiter, und helfe nicht, wenn Du Dich nicht genug auskennst...

Hallo und :hallo:

1.) Bitte hole die Datei C:\WINDOWS\Rundll32.exe aus der Quarantäne und lade sich gemäß dieser Anleitung (nur Punkt 2) bei uns hoch.

2.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo Jon.doe,

habe leider erst ComboFix ausgeführt und dann den ccleaner. hoffe das ist nicht schlimm.
hier der ComboFix Log:

ComboFix 09-04-21.01 - Christian 20.04.2009 20:58.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.759.417 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Christian\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
FW: COMODO Firewall *enabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Christian\Anwendungsdaten\inst.exe
c:\windows\rundll32.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-20 bis 2009-04-20 ))))))))))))))))))))))))))))))
.

2009-04-20 16:34 . 2009-04-20 16:34 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-20 16:34 . 2009-04-20 16:34 -------- d-----w c:\dokumente und einstellungen\Christian\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-20 13:11 . 2009-04-20 13:11 249592 ----a-w c:\windows\system32\cssdll32.dll
2009-04-20 13:05 . 2009-04-20 13:27 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\comodo
2009-04-20 13:05 . 2009-04-20 13:05 147192 ----a-w c:\windows\system32\guard32.dll
2009-04-20 13:05 . 2009-04-20 13:05 31504 ----a-w c:\windows\system32\drivers\cmdhlp.sys
2009-04-20 13:05 . 2009-04-20 13:05 101776 ----a-w c:\windows\system32\drivers\cmdguard.sys
2009-04-20 12:05 . 2009-03-09 19:06 15688 ----a-w c:\windows\system32\lsdelete.exe
2009-04-20 11:38 . 2009-03-09 19:06 64160 ----a-w c:\windows\system32\drivers\Lbd.sys
2009-04-20 11:36 . 2009-04-20 11:36 -------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-04-20 11:36 . 2009-04-20 11:38 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-04-16 16:58 . 2009-04-16 16:58 -------- d-----w c:\dokumente und einstellungen\Christian\Anwendungsdaten\Malwarebytes
2009-04-16 16:58 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-16 16:58 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-16 16:58 . 2009-04-16 16:58 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-16 12:43 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-16 12:43 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-16 12:43 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-16 12:43 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-16 12:42 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-16 12:42 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-16 12:42 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-16 12:42 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-16 12:42 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-16 12:39 . 2009-03-27 06:49 1203922 -c----w c:\windows\system32\dllcache\sysmain.sdb
2009-04-16 12:39 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-15 18:04 . 2009-04-15 18:04 477 ----a-w c:\windows\eReg.dat
2009-04-01 15:46 . 2009-04-01 15:46 90416 ------w c:\windows\AKDeInstall.exe
2009-04-01 15:30 . 2009-03-09 13:27 453456 ----a-w c:\windows\system32\d3dx10_41.dll
2009-04-01 15:30 . 2009-03-09 13:27 1846632 ----a-w c:\windows\system32\D3DCompiler_41.dll
2009-04-01 15:28 . 2007-03-15 14:57 443752 ----a-w c:\windows\system32\d3dx10_33.dll
2009-04-01 15:28 . 2007-03-12 14:42 1123696 ----a-w c:\windows\system32\D3DCompiler_33.dll
2009-04-01 15:28 . 2007-03-12 14:42 3495784 ----a-w c:\windows\system32\d3dx9_33.dll
2009-04-01 15:28 . 2007-01-24 13:27 255848 ----a-w c:\windows\system32\xactengine2_6.dll
2009-04-01 15:28 . 2006-12-08 10:02 251672 ----a-w c:\windows\system32\xactengine2_5.dll
2009-04-01 15:28 . 2006-11-29 11:06 3426072 ----a-w c:\windows\system32\d3dx9_32.dll
2009-04-01 15:28 . 2007-03-05 10:42 15128 ----a-w c:\windows\system32\x3daudio1_1.dll
2009-04-01 15:28 . 2006-09-28 14:05 237848 ----a-w c:\windows\system32\xactengine2_4.dll
2009-04-01 15:28 . 2006-09-28 14:05 2414360 ----a-w c:\windows\system32\d3dx9_31.dll
2009-04-01 15:28 . 2006-07-28 07:30 236824 ----a-w c:\windows\system32\xactengine2_3.dll
2009-04-01 15:28 . 2006-07-28 07:30 62744 ----a-w c:\windows\system32\xinput1_2.dll
2009-04-01 15:01 . 2009-04-01 15:28 -------- d--h--w c:\windows\msdownld.tmp
2009-04-01 15:00 . 2009-04-01 15:00 -------- d-----w c:\windows\Logs
2009-03-31 18:32 . 2006-02-07 06:40 155648 ----a-w c:\windows\system32\igfxres.dll
2009-03-31 12:51 . 2009-03-31 12:51 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nokia
2009-03-31 12:30 . 2008-04-13 18:45 26112 -c--a-w c:\windows\system32\dllcache\usbser.sys
2009-03-31 12:30 . 2008-04-13 18:45 26112 ----a-w c:\windows\system32\drivers\usbser.sys
2009-03-31 12:30 . 2009-03-31 12:30 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-03-31 12:30 . 2009-03-31 12:30 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-03-31 12:29 . 2008-03-21 11:57 14640 ------w c:\windows\system32\spmsgXP_2k3.dll
2009-03-31 12:29 . 2009-03-31 12:48 -------- d-----w c:\dokumente und einstellungen\Christian\Anwendungsdaten\Nokia
2009-03-31 12:27 . 2009-03-31 12:30 -------- d-----w c:\dokumente und einstellungen\Christian\Anwendungsdaten\PC Suite
2009-03-31 12:27 . 2009-03-31 12:30 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-03-31 12:19 . 2008-08-26 07:26 18816 ----a-w c:\windows\system32\drivers\pccsmcfd.sys
2009-03-31 12:18 . 2008-09-15 05:56 8064 ----a-w c:\windows\system32\drivers\usbser_lowerfltj.sys
2009-03-31 12:18 . 2008-09-15 05:56 8064 ----a-w c:\windows\system32\drivers\usbser_lowerflt.sys
2009-03-31 12:18 . 2008-09-15 05:56 22016 ----a-w c:\windows\system32\drivers\ccdcmbo.sys
2009-03-31 12:18 . 2008-09-15 05:56 659968 ----a-w c:\windows\system32\nmwcdcocls.dll
2009-03-31 12:18 . 2008-09-15 05:56 17664 ----a-w c:\windows\system32\drivers\ccdcmb.sys
2009-03-31 12:18 . 2008-09-15 05:29 1112288 ----a-w c:\windows\system32\wdfcoinstaller01007.dll
2009-03-31 12:16 . 2009-03-31 12:16 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2009-03-31 12:16 . 2009-03-31 12:16 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-03-31 12:15 . 2009-03-31 12:49 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-20 19:05 . 2009-04-20 12:31 892 ----a-w C:\aaw7boot.log
2009-04-20 18:47 . 2007-08-17 12:42 -------- d-----w c:\dokumente und einstellungen\Christian\Anwendungsdaten\Skype
2009-04-20 16:34 . 2009-04-20 16:34 -------- d-----w c:\programme\SUPERAntiSpyware
2009-04-20 16:33 . 2007-11-04 16:30 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-20 13:11 . 2009-04-20 13:05 -------- d-----w c:\programme\COMODO
2009-04-20 13:11 . 2009-04-20 13:11 -------- d-----w c:\programme\AskBarDis
2009-04-20 13:04 . 2007-08-17 11:56 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-20 13:01 . 2008-08-23 11:03 -------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-04-20 12:58 . 2008-04-26 17:08 10520 ----a-w c:\windows\system32\avgrsstx.dll
2009-04-20 12:58 . 2008-04-26 17:08 108552 ----a-w c:\windows\system32\drivers\avgtdix.sys
2009-04-20 12:58 . 2008-04-26 17:08 325640 ----a-w c:\windows\system32\drivers\avgldx86.sys
2009-04-20 12:57 . 2008-04-26 17:07 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2009-04-20 11:39 . 2007-08-17 12:19 98304 ----a-w c:\windows\DUMP6dfc.tmp
2009-04-20 11:36 . 2009-04-20 11:36 -------- d-----w c:\programme\Lavasoft
2009-04-20 10:45 . 2009-04-01 15:45 -------- d-----w c:\programme\Z-DBackup
2009-04-17 03:14 . 2004-08-04 12:00 73904 ----a-w c:\windows\system32\perfc007.dat
2009-04-17 03:14 . 2004-08-04 12:00 415340 ----a-w c:\windows\system32\perfh007.dat
2009-04-16 17:50 . 2007-11-24 16:21 -------- d-----w c:\dokumente und einstellungen\Christian\Anwendungsdaten\uTorrent
2009-04-16 17:03 . 2009-04-16 17:03 -------- d-----w c:\programme\Trend Micro
2009-04-16 16:58 . 2009-04-16 16:58 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-16 12:44 . 2007-08-23 21:41 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-06 19:15 . 2009-04-06 19:15 -------- d-----w c:\programme\Xvid
2009-04-01 15:30 . 2009-04-01 15:30 -------- d-----w c:\programme\Lavalys
2009-03-31 18:39 . 2009-03-31 12:20 -------- d-----w c:\programme\Gemeinsame Dateien\Nokia
2009-03-31 18:39 . 2009-03-31 12:18 -------- d-----w c:\programme\Nokia
2009-03-31 18:24 . 2009-03-31 18:19 -------- d-----w c:\programme\SystemRequirementsLab
2009-03-31 13:21 . 2007-11-04 16:31 -------- d-----w c:\programme\TuneUp Utilities 2007
2009-03-31 12:20 . 2009-03-31 12:20 -------- d-----w c:\programme\Gemeinsame Dateien\PCSuite
2009-03-31 12:19 . 2009-03-31 12:19 -------- d-----w c:\programme\DIFX
2009-03-31 12:18 . 2009-03-31 12:18 -------- d-----w c:\programme\PC Connectivity Solution
2009-03-17 16:13 . 2008-04-24 19:02 -------- d-----w c:\dokumente und einstellungen\Christian\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2009-03-16 12:18 . 2009-04-01 15:29 69448 ----a-w c:\windows\system32\XAPOFX1_3.dll
2009-03-16 12:18 . 2009-04-01 15:29 517448 ----a-w c:\windows\system32\XAudio2_4.dll
2009-03-16 12:18 . 2009-04-01 15:29 235352 ----a-w c:\windows\system32\xactengine3_4.dll
2009-03-16 12:18 . 2009-04-01 15:29 22360 ----a-w c:\windows\system32\X3DAudio1_6.dll
2009-03-12 11:23 . 2009-03-12 11:23 -------- d-----w c:\programme\Smallvideosoft
2009-03-09 13:27 . 2009-04-01 15:29 4178264 ----a-w c:\windows\system32\D3DX9_41.dll
2009-03-08 16:31 . 2009-03-08 16:31 -------- d-----w c:\dokumente und einstellungen\Christian\Anwendungsdaten\SPAMfighter
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-02 10:56 . 2009-03-02 10:56 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\pcvisit
2009-03-02 10:55 . 2009-03-02 10:55 -------- d-----w c:\programme\pcvisit Software AG
2009-02-20 08:09 . 2004-08-04 12:00 671744 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:09 . 2004-08-04 12:00 81920 ----a-w c:\windows\system32\ieencode.dll
2009-02-10 17:03 . 2004-08-04 00:50 2068352 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 14:04 . 2004-08-04 12:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 12:00 2191360 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-08-04 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-08-04 12:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-08-04 12:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-08-04 12:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-08-04 12:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2004-08-04 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2004-08-04 12:00 56832 ----a-w c:\windows\system32\secur32.dll
2009-02-03 10:07 . 2007-08-17 12:49 29856 ----a-w c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-01-22 21:11 . 2008-01-02 10:40 1490944 ----a-w c:\windows\system32\ExFileVw.dll
2008-12-19 15:43 . 2008-12-19 14:59 47360 ----a-w c:\dokumente und einstellungen\Christian\Anwendungsdaten\pcouffin.sys
2008-11-09 16:28 . 2007-11-21 12:57 29080 ----a-w c:\dokumente und einstellungen\Christian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-15 20:11 . 2008-09-29 18:20 262144 ----a-w c:\programme\Uninstall Spy Blocker.dll
2007-11-15 20:32 . 2007-11-15 20:32 32 -c--a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-12-16 16:13 . 2007-12-16 16:13 220 -csh--w c:\windows\dwin.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\programme\BillP Studios\WinPatrol\winpatrol.exe" [2007-02-12 267840]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-04-20 1932568]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-02-07 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-02-07 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-02-07 118784]
"COMODO SafeSurf"="c:\programme\COMODO\SafeSurf\cssurf.exe" [2009-04-20 278264]
"COMODO Internet Security"="c:\programme\COMODO\COMODO Internet Security\cfp.exe" [2009-04-20 1797880]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-04-20 12:58 10520 ----a-w c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk.disabled]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk.disabled
backup=c:\windows\pss\VPN Client.lnk.disabledCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinManager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinManager.lnk
backup=c:\windows\pss\WinManager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Christian^Startmenü^Programme^Autostart^RocketDock.lnk.disabled]
path=c:\dokumente und einstellungen\Christian\Startmenü\Programme\Autostart\RocketDock.lnk.disabled
backup=c:\windows\pss\RocketDock.lnk.disabledStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"S24EventMonitor"=2 (0x2)
"iPod Service"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"gusvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"ose"=3 (0x3)
"Bonjour Service"=2 (0x2)
"ServiceLayer"=3 (0x3)
"sdCoreService"=3 (0x3)
"sdAuxService"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SoundMan"=SOUNDMAN.EXE
"SynTPEnh"=c:\programme\Synaptics\SynTP\SynTPEnh.exe
"SynTPLpr"=c:\programme\Synaptics\SynTP\SynTPLpr.exe
"Hcontrol"=c:\windows\ATK0100\Hcontrol.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\Games\\Herr der Ringe\\game.dat"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-04-20 908056]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-04-20 298264]
R3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);c:\windows\system32\DRIVERS\A3AB.sys [2007-05-23 547744]
R3 UDXTTM6000;DTV-DVB UDXTTM6000 - USB 2.0 Receiver;c:\windows\system32\Drivers\UDXTTM6000.sys [2007-06-21 320384]
R3 UDXTTM6000HID;UDXTTM6000HID - HID Driver;c:\windows\system32\drivers\UDXTTM6000HID.sys [2006-06-29 17408]
R4 pcvisit 4 Remote Service;pcvisit 4 Remote Service;c:\programme\pcvisit Software AG\pcvisit 4 Remote\pcvisit4Remote.exe [2008-06-13 4810088]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-03-09 64160]
S1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2009-04-20 325640]
S1 AvgTdiX;AVG8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2009-04-20 108552]
S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2009-04-20 101776]
S1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2009-04-20 31504]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-03-09 951632]
S2 Prvflder;Prvflder;c:\windows\system32\DRIVERS\prvflder.sys [2006-04-21 70912]
S3 ATKXPDisplayName;ATKXPDisplayName;c:\windows\system32\DRIVERS\ATKACPI.sys [2004-05-27 5786]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb22a4fe-5d20-11dc-925d-000e352c2eb0}]
\Shell\AutoRun\command - E:\CD_Start.exe
.
Inhalt des "geplante Tasks" Ordners

2009-04-20 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 19:06]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Picasa Media Detector - c:\programme\Picasa2\PicasaMediaDetector.exe


.
------- Zusätzlicher Suchlauf -------
.
mStart Page = hxxp://alice.aol.de
uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1031
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An vorhandenes PDF anfügen
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Download über Download &Express - c:\programme\Download Express\Add_Url.htm
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Name-Space Handler: ftp\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
Name-Space Handler: http\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
Name-Space Handler: https\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
FF - ProfilePath - c:\dokumente und einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\wmyf3tg2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - Nachrichten und aktuelle Informationen aus Politik, Wirtschaft, Sport und Kultur - WELT ONLINE
FF - component: c:\dokumente und einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\wmyf3tg2.default\extensions\{D249FD00-4DF9-11D9-9FDC-0080481ADA61}\components\mpint.dll
FF - component: c:\programme\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-20 21:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pcvisit 4 Remote Service]
"ImagePath"="\"c:\programme\pcvisit Software AG\pcvisit 4 Remote\pcvisit4Remote.exe\" --service:run"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-507921405-413027322-1801674531-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:46,fd,cf,d8,0f,4a,cf,31,d6,be,35,47,41,14,cb,db,80,e3,ef,8d,26,95,b2,
80,74,f7,99,9e,30,b8,3c,d1,46,29,0b,c1,e0,5d,b8,6f,b3,aa,67,e6,ac,1e,32,e7,\
"??"=hex:0c,f7,a4,45,95,77,0d,89,8f,7f,56,ce,a0,ea,7b,70
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1044)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(3728)
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\programme\Microsoft Private Folder 1.0\ShellExt.dll
c:\windows\system32\PFLib.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\COMODO\COMODO Internet Security\cmdagent.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\system32\NMSAccessU.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-20 21:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-20 19:23

Vor Suchlauf: 18 Verzeichnis(se), 26.500.034.560 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 26.495.741.952 Bytes frei

329 --- E O F --- 2009-04-17 03:06

Ich hoffe, du hast die richtige Datei hochgeladen. Das ist die Analyse von dem Backdoor.bot: :)
0.) Wurde diese Software bewusst installiert: pcvisit Software AG?

1.) Deinstalliere:

• AdAware
• SuperAntiSpyware
• Bonjour
• Google Toolbar
• Google Updater

2.) Erstelle ein Filelisting.

• Lade die Datei File-Upload.net - listing9.bat auf deinen Desktop
• Doppelklicke auf listing9.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

3.) GMER - Rootkit Detection

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

4.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

5.) ZHPDiag von Nicolas Coolman

http://pic.leech.it/i/5e532/9b50601zhpdiag.jpg

1. Klicke auf Téléchargement de ZHPDiag
2. Klicke auf der Seite auf FTP Zebulon.fr N°1.
3. Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
4. Klicke auf http://pic.leech.it/i/ced97/35b1452all.jpg All
5. Klicke auf http://pic.leech.it/i/0eefe/5db239elupe.jpg General Analysis
6. Klicke auf http://pic.leech.it/i/bf836/eced1f9dclipboard.jpg Paste Clipboard
7. Wechsel zum Forum, klicke auf Antworten, klicke in den großen weißen Kasten
8. Drücke [Strg]v, [Strg]a
9. Klicke auf # http://pic.leech.it/i/3c634/c3cdedaraute.jpg

ciao, andreas

Hallo Andreas,

1. Habe Bonjour und Google Updater nicht unter Systemsteuerung/Software zum Deinstallieren gefunden! Wo kann ich das deinstallieren?

2. Hier schon mal der Link

http://www.materialordner.de/m1Jiw5ugJpeSSL4ry0ojIBwRZhOK8rsk.html

Gruß Christian

Google Updater habe ich nur vermutet, vergiss den.
Entfernen von Windows Bonjour (mdnsresponder.EXE) mit Bonjour Au revoir

Deinstalliere:

• Comodo Firewall
• TuneUp Utilities

Wurde diese Software bewusst installiert: pcvisit Software AG?

ciao, andreas

Warum Comodo und Tunes up deinstallieren? Hab bis jetzt nur gutes von diesen Programmen gehört!

PcVisit ist absichtlich drauf.

Gruß Christian

Die Firewall stört die Reinigung und versaut die Logs und TuneUp ist sinnfrei. Ich lasse es immer deinstallieren und "seltsamerweise" werden die Rechner danach schneller. Lies hier:

http://www.trojaner-board.de/429488-post58.html
http://www.trojaner-board.de/429731-post66.html
http://www.trojaner-board.de/430528-post85.html

ciao, andreas

Hallo Andreas,

der Gmer Scan hat bei mir gestern ewig gedauert und beim ersten Versuch ist mir der PC abgestürzt!

habs jetzt über die Nacht laufen lassen...hier das Ergebniss:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-21 09:19:01
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwCreateKey [0xF769EB3A]
SSDT sptd.sys ZwEnumerateKey [0xF769EC7E]
SSDT sptd.sys ZwEnumerateValueKey [0xF769EFF6]
SSDT sptd.sys ZwOpenKey [0xF769EA18]
SSDT sptd.sys ZwQueryKey [0xF769F0C0]
SSDT sptd.sys ZwQueryValueKey [0xF769EF58]
SSDT sptd.sys ZwSetValueKey [0xF769F148]

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 228 804E2884 4 Bytes JMP 80E5F769
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS\System32\Drivers\SPTD3773.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 F6EB14D0 16 Bytes [E3, 21, 85, 32, 0B, 8E, CF, ...] {JECXZ 0x23; TEST [EDX], ESI; OR ECX, [ESI+0x6398e1cf]; AND [EDI+0x3ffbe6f6], ESI}
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 12 F6EB14E2 30 Bytes [EB, F6, 65, 86, D2, 11, E8, ...]
? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F76A7DB2] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F76BD71E] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F76A83B2] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F76A82B6] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F76A8482] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IofCallDriver] [F76A8482] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F76A83B2] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F76A82B6] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F76BD032] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F76A7F6E] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F76BCC76] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F76A7E06] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F769AA32] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F769AB6E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F769AAF6] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F769B6CC] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F769B5A2] sptd.sys
IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F76BD864] sptd.sys
IAT \WINDOWS\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F76ACF78] sptd.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F76BCC76] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F76BCC82] sptd.sys
IAT \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F76BD864] sptd.sys
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F769A020] sptd.sys
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F769A020] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 83B8CC78

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\dmio \Device\DmControl\DmIoDaemon 83BD7418
Device \Driver\dmio \Device\DmControl\DmConfig 83BD7418
Device \Driver\dmio \Device\DmControl\DmPnP 83BD7418
Device \Driver\dmio \Device\DmControl\DmInfo 83BD7418
Device \Driver\00000054 \Device\00000060 sptd.sys

AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device \Driver\Ftdisk \Device\HarddiskVolume1 83BD76D0
Device \Driver\NetBT \Device\NetBT_Tcpip_{BD767B08-E5D3-43A0-81DF-5F166A94E5FC} 8362BCF0
Device \Driver\Cdrom \Device\CdRom0 83A1DDE0
Device \FileSystem\Rdbss \Device\FsWrap 835F5CF0
Device \Driver\NetBT \Device\NetBt_Wins_Export 8362BCF0
Device \Driver\NetBT \Device\NetbiosSmb 8362BCF0

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device \Driver\Disk \Device\Harddisk0\DR0 83B8CEB0

AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 835EFCA0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 835EFCA0
Device \FileSystem\Npfs \Device\NamedPipe 83612EB0
Device \Driver\Ftdisk \Device\FtControl 83BD76D0
Device \FileSystem\Msfs \Device\Mailslot 83609EB0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 83799CF0
Device \FileSystem\Cdfs \Cdfs 8391ADA8

---- Threads - GMER 1.0.15 ----

Thread System [4:1824] EDAC51F0

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 1771208402
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1396446632
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1736977283
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0x3A 0x8E 0xA0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x68 0x92 0x9A 0xBD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCB 0x12 0xAF 0xDF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0x3A 0x8E 0xA0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x68 0x92 0x9A 0xBD ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCB 0x12 0xAF 0xDF ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0x3A 0x8E 0xA0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x68 0x92 0x9A 0xBD ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCB 0x12 0xAF 0xDF ...

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Christian\My Private Folder\prvflder.dat 512 bytes
File C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl (size mismatch) 8192/4096 bytes

---- EOF - GMER 1.0.15 ----