Komme nicht mehr auf AntiVirus-Seiten, Rootkit-Dienst auf XP
Hallo zusammen,
auf meinem PC befindet sich offensichtlich ein Virus/Rootkit. Der Dienst "Automatische Updates" springt immer wieder auf "Deaktiviert" zurück. Außerdem befindet sich ein Dienst mit dem Namen "cuxbe" (Anzeigename "Monitor Time") auf dem PC, der die Beschreibung vom IIS Admin kopiert hat und "C:\WINDOWS\system32\svchost.exe -k netsvcs" aufruft. Diesen Dienst kann ich nicht deaktivieren (Fehlermeldung: Zugriff verweigert).
Genau dieses cuxbe taucht auch in Tralala in Verbindung mit der Meldung ***hidden*** auf (s.u.).
Ich komme außerdem nicht mehr auf Internetseiten von AV-Herstellern (Symantec, Avira etc., aber auch Microsoft). Andere Internetseiten gehen problemlos.
Versucht habe ich bereits: Antivirenscan, Avira Removal Tool, Spybot Search & Destroy, Malwarebytes Anti-Malware. Nichts hat das Problem gelöst. Die Hosts-Datei ist auch leer.
Ich bin über Google auf einen Beitrag (http://www.trojaner-board.de/70740-komme-nicht-auf-av-seiten-und-av-kann-auch-nicht-updaten-2.html) gekommen und hoffe, dass sich das Problem hier auch lösen lässt. Mal eben neu installieren wäre mit hohem Aufwand und Kosten verbunden...
Schonmal danke für eure Hilfe,
Ransom
P.S.: Habe auch schon den CCleaner aufräumen lassen. Code:
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2182
Windows 5.1.2600 Service Pack 3
16.06.2009 18:54:13
mbam-log-2009-06-16 (18-54-13).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 304420
Laufzeit: 1 hour(s), 9 minute(s), 0 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:45, on 16.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\Programme\HP Web Jetadmin\hpwebjetd.exe
c:\cachesys\bin\cache.exe
C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrustITM\InoRpc.exe
C:\Programme\CA\eTrustITM\InoRT.exe
C:\Programme\CA\eTrustITM\InoTask.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\Programme\Java\jre6\bin\jqs.exe
c:\cachesys\bin\cache.exe
C:\Programme\HP Web Jetadmin\hpwebjetd.exe
c:\cachesys\bin\cache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\UPSMON\UPSMON_Service.Exe
C:\Programme\UltraVNC\WinVNC.exe
C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
C:\Programme\UPSMON\UPSUSBInt2.exe
c:\cachesys\bin\cache.exe
C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
C:\David\CODE\SL.EXE
C:\David\TLD\CODE\CAPI\TLD.EXE
C:\WINDOWS\system32\cmd.exe
c:\cachesys\bin\cache.exe
c:\cachesys\BIN\ctelnetd.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\CA\eTrustITM\realmon.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
C:\Programme\UPSMON\UPSMON.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\CacheSys\Bin\csystray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\KPS DesignStudio 2009\KPSInfo\KPSInfo.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\OpenVPN\bin\openvpnserv.exe
C:\Programme\OpenVPN\bin\openvpn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\hjt\hjt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Programme\CA\eTrustITM\realmon.exe" -s
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UPSMON] C:\Programme\UPSMON\UPSMON.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: CACHE.lnk = C:\CacheSys\Bin\csystray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: KPSInfo.lnk = C:\Programme\KPS DesignStudio 2009\KPSInfo\KPSInfo.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\Profi cash\wzed.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted IP range: 192.168.0.11
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152279923000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{747D23BA-F674-4ECB-89A9-F4A39E01FCF4}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: DvISE ClipInc 001 (DavidClipInc001) - Unknown owner - C:\David\APPS\CLIPINC\CODE\CLIPINC.EXE
O23 - Service: DvISE Discussion Server (DavidDiscussionServer) - Tobit Software - C:\David\APPS\DSERVER\CODE\DSERVER.EXE
O23 - Service: DvISE Grabbing Server (DavidGrabbingServer) - Tobit Software - C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
O23 - Service: DvISE Host (DavidHost) - Tobit Software - C:\David\APPS\DVHOST\CODE\DVHOST.EXE
O23 - Service: DvISE Mail Access Server (DavidMailAccessServer) - Tobit Software - C:\David\APPS\MASERVER\CODE\MASERVER.EXE
O23 - Service: DvISE PBXpense (DavidPBXpense) - Tobit Software - C:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE
O23 - Service: DvISE PostMan (DavidPostMan) - Tobit Software - C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - C:\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - C:\David\CODE\SL.EXE
O23 - Service: DvISE Show Interface Services (DavidShowInterfaceServices) - Tobit Software - C:\David\apps\showis\showis.exe
O23 - Service: DvISE TLD 001 (DavidTLD001) - Tobit Software - C:\David\TLD\CODE\CAPI\TLD.EXE
O23 - Service: DvISE TVIndex (DavidTVIndex) - Tobit Software - C:\David\APPS\TVINDEX\TVINDEX.EXE
O23 - Service: DvISE Video Capture (DavidVideoCapture) - Tobit Software - C:\David\APPS\VIDEOCPT\CODE\VIDEOC~1.EXE
O23 - Service: DvISE WebBox (DavidWebBox) - Tobit Software - C:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
O23 - Service: HP Web Jetadmin (HPWebJetadmin) - Apache Software Foundation - C:\Programme\HP Web Jetadmin\hpwebjetd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iTechnology iGateway 4.0 (iGateway) - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: eTrust ITM-RPC-Dienst (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRpc.exe
O23 - Service: eTrust ITM-Echtzeitdienst (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRT.exe
O23 - Service: eTrust ITM-Jobdienst (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoTask.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: TapeWare - Unknown owner - C:\Programme\TapeWare\TWWINSDR.EXE
O23 - Service: TK-Suite Server (tksock) - AGFEO - C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: UPSMONService - Unknown owner - C:\Programme\UPSMON\UPSMON_Service.Exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe
Code:
32 Bit HP CIO Components Installer
Acronis True Image Home
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.2 - Deutsch
AFPL Ghostscript 8.50
AFPL Ghostscript Fonts
ATI - Software Uninstall Utility
ATI Display Driver
ATI HYDRAVISION
AVM FRITZ!
AVM ISDN CAPI Port
CA eTrustITM Agent
CA iTechnology iGateway
Caché in C:\CacheSys
Canon IJ Network Scan Utility
Canon IJ Network Tool
Canon MP Navigator EX 1.0
Canon MX700 series
CCleaner (remove only)
CDDRV_Installer
Compatibility Pack for the 2007 Office system
cyberJack Base Components
David
David InfoCenter
Eraser 5.82
Herma Etiketten Assistent 3.0
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
HP Software Update
HP Web Jetadmin
Intel(R) Management Engine Interface
Intel(R) PRO Network Connections 12.1.12.0
IrfanView (remove only)
Java(TM) 6 Update 13
Java(TM) 6 Update 7
KhalInstallWrapper
KPS DesignStudio
KPS DesignStudio 2009
LiveReg (Symantec Corporation)
LiveUpdate 2.5 (Symantec Corporation)
Log Monitor 1.4.2
Logitech SetPoint
Malwarebytes' Anti-Malware
Marvell Miniport Driver
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office Basic Edition 2003
Microsoft Visual C++ 2005 Redistributable
MiKTeX
Mozilla Firefox (3.0.11)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 Parser and SDK
Nero Suite
Non Driver CIO Components
NVIDIA Drivers
OpenVPN 2.0.7-gui-1.0.3
Paint Shop Pro 7 Anniversary Edition
phase5
Profi cash
Realtek AC'97 Audio
RedMon - Druckeranschluß-Umleitungsmonitor
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Sentinel Protection Installer 7.4.0
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953155)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sony TapeTool
SpamPal
Spelling Dictionaries Support For Adobe Reader 9
Spybot - Search & Destroy
Spybot - Search & Destroy 1.4
SUPER © Version 2007.bld.22 (Mar 14, 2007)
Symantec pcAnywhere
TapeWare
Ultr@VNC Release 1.0.0 RC 11b - Win32
UltraVNC v1.0.2
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
UPSMON Plus for Windows
WinAce Archiver
Windows XP Service Pack 3
Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-06-16 21:23:11
Windows 5.1.2600 Service Pack 3
---- User code sections - GMER 1.0.14 ----
.text C:\WINDOWS\System32\svchost.exe[1492] ntdll.dll!NtQueryInformationProcess 7C91D7FE 5 Bytes JMP 012DADCD
.text C:\WINDOWS\System32\svchost.exe[1492] NETAPI32.dll!NetpwPathCanonicalize 597DA3A9 5 Bytes JMP 012DAD64
.text C:\WINDOWS\system32\svchost.exe[1568] ntdll.dll!NtQueryInformationProcess 7C91D7FE 5 Bytes JMP 009AADCD
---- Devices - GMER 1.0.14 ----
AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice \FileSystem\Ntfs \Ntfs ino_fltr.sys (CA eTrust Antivirus/InoculateIT File System Filter Driver for Windows 2000/XP/2003/Vista/Computer Associates)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
---- Services - GMER 1.0.14 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] cuxbe <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@DisplayName Monitor Time
Reg HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@Description Erm?glicht die Verwaltung von Webdiensten und FTP-Diensten mithilfe des Snap-Ins Internet-Informationsdienste
Reg HKLM\SYSTEM\CurrentControlSet\Services\cuxbe\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\cuxbe\Parameters@ServiceDll C:\WINDOWS\system32\rqimf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\cuxbe@DisplayName Monitor Time
Reg HKLM\SYSTEM\ControlSet003\Services\cuxbe@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\cuxbe@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\cuxbe@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\cuxbe@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\cuxbe@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\cuxbe@Description Erm?glicht die Verwaltung von Webdiensten und FTP-Diensten mithilfe des Snap-Ins Internet-Informationsdienste
Reg HKLM\SYSTEM\ControlSet003\Services\cuxbe\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\cuxbe\Parameters@ServiceDll C:\WINDOWS\system32\rqimf.dll
---- Files - GMER 1.0.14 ----
File C:\David\Archive\SYSTEM\DAVID\Errlog\I023095C.001 107 bytes
File C:\David\Archive\SYSTEM\DAVID\Errlog\I01C0547.001 107 bytes
File C:\David\Archive\SYSTEM\DAVID\Errlog\I03DE3C0.001 107 bytes
File C:\David\Archive\SYSTEM\DAVID\Errlog\I0221E60.001 107 bytes
File C:\David\Archive\SYSTEM\DAVID\Errlog\I03783EA.001 107 bytes
File C:\David\Archive\SYSTEM\DAVID\Errlog\I01770AB.001 107 bytes
File C:\David\Archive\SYSTEM\DAVID\Errlog\I01CEFC6.001 107 bytes
File C:\David\Archive\SYSTEM\DAVID\Errlog\I01B4998.001 107 bytes
File C:\David\Archive\SYSTEM\DAVID\Errlog\I0394D9D.001 107 bytes
File C:\David\Archive\SYSTEM\DAVID\Errlog\I023F3DB.001 107 bytes
---- EOF - GMER 1.0.14 ----
| 