|
Win32Trojan.Tdss - lässt sich nicht entfernen Hallo allerseits! Die letzten drei Tage habe ich nun damit verbracht, meinen Rechner zu bereinigen. Leider blieb der gewünschte Erfolg aus, weshalb ich hoffe dass ihr mir weiterhelfen könnt. Folgendes Problem liegt aktuell vor: 1. In Opera und Firefox werde ich auf andere Seiten weitergeleitet, als die unter google angegebenen. Zudem wird meine Oberfläche größer dargestellt wie bisher. 2. Meine Brennfunktion ist aktuell komplett lahmgelegt. Kein Programm möchte einen meiner beiden Brenner erkennen! Auch eine erneute Installation der Treiber brachte nichts. 3. spybot s&d lässt sich nicht mehr öffnen. 4. Bei einem Scan mit Ad-Aware (Intelligenter Scan) werden mir jedes mal folgende Punkte angezeigt: - Win32Trojan.Tdss - Cookies - Privacy Object 5. Kaspersky (Scan) zeigt an: Der Computer ist sicher Es wäre toll, wenn mir jemand behilflich sein könnte, da ich liebend gerne eine Neuaufsetzung des Systems umgehen möchte. Mit Veränderungen an der Registry bin ich vorsichtig und z.B. die Verwendung von ComboFix möchte ich nicht einfach mal so im Alleingang testen. Welchen Schritt sollte ich zuerst machen? Vorab möchte ich schon einmal für eure Mithilfe danken "Vielen Dank". Es grüßt euch Kuss80 |
Hallo und :hallo: Zitat:
Solltest du noch immer Säuberung vorziehen, dann beginne mit ComboFix. Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
Hallo Andreas (john.doe), zuerst einmal vielen Dank für die schnelle Antwort. Ich habe deine Anweisung befolgt, den CCleaner und anschließend ComboFix über das System laufen lassen. Folgendes möchte ich dazu berichten: 1. Das Ausführen vom CCleaner hat alles wunderbar funktioniert, wie beschrieben. 2. Danach habe ich mich ComboFix gestartet. Die ersten Schritte wurden abgearbeitet, wie sie in der Anleitung beschrieben sind. Nach dem Bestätigen "Ja" zur Suche nach Malware, habe ich den BlueScreen mit dem Hinweis "Suche nach infizierten Dateien...." erhalten und erst einmal abgewartet. Nun, nach ca. 3 1/2 bis 4 Std., nachdem sich immer noch nichts getan hat, habe ich diesen Prozess dann abgebrochen. Scheint mir als sei ComboFix eingefroren!? PS. Eine ComboFix.txt wurde nicht erstellt unter C:\. Bin mir jetzt nicht sicher, ob ich erneut die Schritte abarbeiten soll? Nach einem Neustart hat Kaspersky sofort ausgeschlagen und die Malware Win32Trojan.Tdss angezeigt. Zudem kam ein Hinweis auf C:\windows\system32\uacrjoqmurbul.dll, welche jedoch nur übersprungen werden konnte. Die Oberfläche des Browers scheint mir wieder nie normale Größe zu haben, jedoch denke ich nicht das das System clean ist! Was denkst du, soll einfach nochmals CCleaner und ComboFix testen? Vielen Dank nochmals für die Hilfe und nen schönen Abend. Gruß Kuss80 |
ComboFix ist zwar nicht durchgekommen, hat ihm aber das Genick gebrochen. Deshalb funktioniert Kaspersky wieder. CCleaner brauchst du nicht. 1.) Start => Ausführen => combofix /u => OK 2.) Lade dir ein neues ComboFix auf deinen Desktop und starte es nach obiger Anleitung. ciao, andreas |
Super Andreas, ich werde noch einmal ComboFix neu auf den Desktop laden und drüberlaufen lassen. Da ich um 4.30 Uhr bereits wieder aufstehen muss, werde ich jedoch erst morgen nach der Arbeit dazukommen. Das neue Ergebnis gibt es dann im Anschluss. Wünsche eine angenehme Nachtruhe. Bis dann Kuss80 |
Gute Nacht, andreas |
Abend allerseits! Habe jetzt, wie von Andreas geschrieben, ComboFix noch einmal ausgeführt. Hmmm, diesmal sah das Ganze besser aus, jedoch ist isses erneut eingefroren. Es kam bis zur Meldung "Starte Windows neu ... Bitte warten". Inzwischen habe ich bemerkt, dass meine Brennfunktion wieder funktioniert. Außerdem kann ich wieder Spybot verwenden. Es liegt somit wohl eine Verbesserung im System vor, jedoch habe ich immer noch Speksis, dass der Rechner weitgehend clean ist! Was meints du andreas erneut ComboFix auf den Desktop laden und laufen lassen? Hätte gerne die log-Datei um sie euch zur Verfügung zu stellen. Gruß Kuss80 |
Zitat:
Zitat:
Ich muss irgendein Log sehen. Versuchen wir es anders. 1.) Deaktiviere den Wächter von Kaspersky. 2.) Packe den Ordner C:\qoobox mit Zip oder Rar, lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht. 3.) Aktiviere den Wächter von Kaspersky. 4.) Poste beide Logs von http://www.trojaner-board.de/74910-a...tion-tool.html ciao, andreas |
So Andreas, hier nun die logs von RSIT: 1. log.txt Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2009-07-29 20:59:56 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 5 GB (13%) free of 39 GB Total RAM: 1023 MB (66% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:00:19, on 29.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Allzeit Atomzeit\Atomzeit.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe C:\Programme\Trend Micro\HijackThis\***.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Vortex Prestige\Classes\data\prog\Styler\TB\StylerTB.dll O4 - HKLM\..\Run: [Vistadrv] C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Allzeit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing) O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe -- End of file - 6292 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2008-11-11 62728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - StylerToolBar - C:\Programme\Vortex Prestige\Classes\data\prog\Styler\TB\StylerTB.dll [2006-05-02 102400] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Vistadrv"=C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe [2006-07-30 121089] "WD Drive Manager"=C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe [2008-05-16 430080] "CanonSolutionMenu"=C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe [2007-05-15 644696] "CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe [2007-04-04 1603152] "AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-22 208616] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] "RemoteControl9"=C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe [2009-02-16 87336] "PDVD9LanguageShortcut"=C:\Programme\CyberLink\PowerDVD9\Language\Language.exe [2008-10-13 50472] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "Eraser"=C:\Programme\Eraser\Eraser.exe [2009-06-10 334224] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [2008-12-03 2356088] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowBlinds] C:\Dokumente und Einstellungen\All Users\Dokumente\Stardock\WindowBlinds\WBInstall32.exe [] C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart Allzeit Atomzeit.lnk - C:\Programme\Allzeit Atomzeit\Atomzeit.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon] C:\WINDOWS\system32\klogon.dll [2008-11-11 218376] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSpqlt.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSpqlt.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "ForceClassicControlPanel"=1 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe:*:Enabled:Kaspersky Anti-Virus" "C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Enabled:mIRC" "C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent" "C:\Programme\FlashGet\flashget.exe"="C:\Programme\FlashGet\flashget.exe:*:Enabled:Flashget" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Infogrames\Grand Prix 4\GP4.exe"="C:\Programme\Infogrames\Grand Prix 4\GP4.exe:*:Disabled:GP4" "C:\WINDOWS\system32\drivers\svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe:*:Disabled:svchost" "C:\Programme\Nero\Nero MediaHome 4\NMMediaServerService.exe"="C:\Programme\Nero\Nero MediaHome 4\NMMediaServerService.exe:*:Enabled:Nero MediaHome 4" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 1 months====== 2009-07-29 20:59:56 ----D---- C:\rsit 2009-07-29 19:32:22 ----D---- C:\WINDOWS\temp 2009-07-29 19:25:42 ----SD---- C:\cofi 2009-07-29 19:25:40 ----A---- C:\WINDOWS\system32\CF5793.exe 2009-07-29 19:03:59 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ImgBurn 2009-07-29 18:32:46 ----D---- C:\Programme\ImgBurn 2009-07-28 18:14:47 ----A---- C:\Boot.bak 2009-07-28 18:14:37 ----RASHD---- C:\cmdcons 2009-07-28 18:12:10 ----A---- C:\WINDOWS\zip.exe 2009-07-28 18:12:10 ----A---- C:\WINDOWS\SWXCACLS.exe 2009-07-28 18:12:10 ----A---- C:\WINDOWS\SWSC.exe 2009-07-28 18:12:10 ----A---- C:\WINDOWS\SWREG.exe 2009-07-28 18:12:10 ----A---- C:\WINDOWS\sed.exe 2009-07-28 18:12:10 ----A---- C:\WINDOWS\PEV.exe 2009-07-28 18:12:10 ----A---- C:\WINDOWS\NIRCMD.exe 2009-07-28 18:12:10 ----A---- C:\WINDOWS\grep.exe 2009-07-28 18:11:58 ----D---- C:\WINDOWS\ERDNT 2009-07-28 18:11:55 ----A---- C:\WINDOWS\system32\CF4092.exe 2009-07-28 18:11:48 ----D---- C:\Qoobox 2009-07-28 17:40:12 ----D---- C:\Programme\CCleaner 2009-07-27 22:39:57 ----A---- C:\WINDOWS\system32\lsdelete.exe 2009-07-27 22:18:13 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864} 2009-07-27 22:17:44 ----D---- C:\Programme\Lavasoft 2009-07-27 22:17:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-07-27 22:16:49 ----D---- C:\WINDOWS\SxsCaPendDel 2009-07-27 00:02:18 ----D---- C:\Programme\Astonsoft 2009-07-26 20:56:19 ----A---- C:\WINDOWS\system32\GdiPlus.dll 2009-07-26 20:47:29 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canneverbe_Limited 2009-07-22 19:02:29 ----A---- C:\WINDOWS\system32\Erasext.dll 2009-07-22 19:02:29 ----A---- C:\WINDOWS\system32\Eraserl.exe 2009-07-22 19:02:29 ----A---- C:\WINDOWS\system32\Eraser.dll 2009-07-22 19:02:28 ----D---- C:\Programme\Eraser 2009-07-15 22:19:13 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$ 2009-07-15 22:19:02 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$ 2009-07-15 22:16:57 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$ 2009-07-14 21:53:19 ----A---- C:\WINDOWS\ConverterCore.INI 2009-07-14 21:49:37 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SolidDocuments 2009-07-14 21:48:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SolidDocuments 2009-07-14 21:45:29 ----A---- C:\WINDOWS\winDecrypt.INI 2009-07-14 21:44:30 ----A---- C:\WINDOWS\system32\BASSMOD.dll 2009-07-14 21:43:52 ----D---- C:\Programme\PDF Password Remover v3.0 2009-07-14 21:37:55 ----D---- C:\Programme\PDF Passwort Knacker 1 2009-07-14 21:37:55 ----A---- C:\WINDOWS\cadkasdeinst01.exe 2009-07-14 21:12:58 ----D---- C:\Programme\ElcomSoft 2009-07-08 16:05:14 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla 2009-07-08 16:04:58 ----D---- C:\Programme\Mozilla Firefox ======List of files/folders modified in the last 1 months====== 2009-07-29 20:23:22 ----D---- C:\Downloads 2009-07-29 19:46:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-07-29 19:46:52 ----AD---- C:\WINDOWS 2009-07-29 19:32:16 ----D---- C:\WINDOWS\system32 2009-07-29 19:32:13 ----D---- C:\WINDOWS\system32\drivers 2009-07-29 19:32:10 ----SHD---- C:\WINDOWS\Installer 2009-07-29 19:30:47 ----D---- C:\WINDOWS\AppPatch 2009-07-29 19:30:43 ----D---- C:\Programme\Gemeinsame Dateien 2009-07-29 19:26:29 ----D---- C:\WINDOWS\system32\CatRoot2 2009-07-29 19:26:08 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-07-29 19:23:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-29 19:23:21 ----D---- C:\WINDOWS\Minidump 2009-07-29 18:32:46 ----RD---- C:\Programme 2009-07-29 16:26:33 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-07-28 18:14:47 ----RASH---- C:\boot.ini 2009-07-28 18:12:08 ----D---- C:\WINDOWS\system32\Restore 2009-07-28 17:44:24 ----D---- C:\WINDOWS\Debug 2009-07-28 17:28:48 ----D---- C:\WINDOWS\Microsoft.NET 2009-07-28 17:28:38 ----RSD---- C:\WINDOWS\assembly 2009-07-27 22:27:56 ----HD---- C:\WINDOWS\inf 2009-07-27 22:27:48 ----SD---- C:\WINDOWS\Tasks 2009-07-27 22:27:12 ----DC---- C:\WINDOWS\system32\DRVSTORE 2009-07-27 22:19:49 ----D---- C:\WINDOWS\system32\XPSViewer 2009-07-27 22:19:45 ----D---- C:\WINDOWS\system32\en-us 2009-07-27 22:19:37 ----RSD---- C:\WINDOWS\Fonts 2009-07-27 22:19:00 ----D---- C:\WINDOWS\system32\CatRoot 2009-07-27 22:12:37 ----D---- C:\WINDOWS\WinSxS 2009-07-27 17:50:19 ----A---- C:\WINDOWS\system32\regsvr32.exe.log 2009-07-27 17:00:53 ----D---- C:\Programme\PokerStars 2009-07-27 17:00:37 ----D---- C:\Programme\Enigma Software Group 2009-07-26 22:40:10 ----A---- C:\WINDOWS\system32\MsiExec.exe.log 2009-07-26 20:59:46 ----A---- C:\WINDOWS\Irremote.ini 2009-07-26 19:38:25 ----SHD---- C:\System Volume Information 2009-07-26 19:37:35 ----A---- C:\WINDOWS\win.ini 2009-07-26 19:37:35 ----A---- C:\WINDOWS\system.ini 2009-07-26 18:52:06 ----D---- C:\WINDOWS\Prefetch 2009-07-26 14:09:50 ----D---- C:\Programme\mIRC 2009-07-25 11:16:10 ----SHD---- C:\RECYCLER 2009-07-22 18:18:53 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2009-07-22 18:18:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2009-07-15 22:19:11 ----HD---- C:\WINDOWS\$hf_mig$ 2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856] R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\system32\drivers\cdrbsdrv.sys [2007-07-18 33408] R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392] R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-02-19 226832] R2 ACEDRV07;ACEDRV07; \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys [] R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver; C:\WINDOWS\system32\plcndis5.sys [2004-05-17 17280] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592] R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2004-08-04 1897408] R3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2004-05-25 48640] R3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2004-05-25 396032] R3 Pcouffin;Low level access layer for CD devices; C:\WINDOWS\System32\Drivers\Pcouffin.sys [2008-04-18 39488] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152] R3 WDC_SAM;WD SCSI Pass Thru driver; C:\WINDOWS\system32\DRIVERS\wdcsam.sys [2008-05-16 11520] R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter; C:\WINDOWS\System32\DRIVERS\yukonwxp.sys [2003-10-02 174336] S3 aathpx20;aathpx20; C:\WINDOWS\system32\drivers\aathpx20.sys [] S3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2008-09-20 99648] S3 catchme;catchme; \??\C:\DOKUME~1\***~1\LOKALE~1\Temp\catchme.sys [] S3 nv4;nv4; C:\WINDOWS\System32\DRIVERS\nv4.sys [2001-08-17 731648] S3 NVENET;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENET.sys [2004-01-29 93764] S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver; \??\C:\WINDOWS\System32\PLCMPR5.SYS [] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 wceusbsh;Windows CE USB Serial Host Driver; C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2006-11-06 28672] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376] R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\WINDOWS\system32\IoctlSvc.exe [2006-12-19 81920] R2 ProtexisLicensing;ProtexisLicensing; C:\WINDOWS\system32\PSIService.exe [2007-06-05 177704] R2 WDBtnMgrSvc.exe;WD Drive Manager Service; C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [2008-05-16 102400] S2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-22 208616] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-07-03 1029456] S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2007-10-08 68096] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-09-28 654848] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 IJPLMSVC;PIXMA Extended Survey Program; C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 97432] S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- |
2. info.txt info.txt logfile of random's system information tool 1.06 2009-07-29 21:00:23 ======Uninstall list====== -->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf ACDSee Foto-Manager 2009-->MsiExec.exe /I{300578F9-9EFF-4B93-9AB1-C0E5707EF463} Ad-Aware-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE Ad-Aware-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95} Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61} Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394} Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23} Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C} Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C} Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E} Adobe Color Common Settings-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe Adobe Color Common Settings-->MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF} Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2} Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029} Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A} Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D} Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD} Adobe ExtendScript Toolkit 2-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\3e054d2218e7aa282c2369d939e58ff\Setup.exe Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{24D7346D-D4B4-45E8-98EA-75EC14B42DD8} Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B} Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245} Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078} Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C} Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x7 Adobe Photoshop CS3-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\5f143314a5d434c8511097393d17397\Setup.exe Adobe Photoshop CS3-->MsiExec.exe /I{29F05234-DCBB-4FE0-88DC-5160C9250312} Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001} Adobe Setup-->MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1} Adobe Setup-->MsiExec.exe /I{B3C02EC1-A7B0-4987-9A43-8789426AAA7D} Adobe Setup-->MsiExec.exe /I{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C} Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183} Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312} Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8} Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5} Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6} Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923} AFPL Ghostscript 8.54-->C:\Programme\gs\uninstgs.exe "C:\Programme\gs\gs8.54\uninstal.txt" AFPL Ghostscript Fonts-->C:\Programme\gs\uninstgs.exe "C:\Programme\gs\fonts\uninstal.txt" Allzeit Atomzeit 2.00-->C:\Programme\Allzeit Atomzeit\uninstall.exe AnyDVD-->"C:\Programme\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Programme\SlySoft\AnyDVD" AviSynth 2.5-->"C:\Programme\AviSynth 2.5\Uninstall.exe" Canon iP4500 series Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP4500 series\UNINST.EXE Canon iP4500 series-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series /L0x0007 Canon My Printer-->C:\Programme\Canon\MyPrinter\uninst.exe uninst.ini Canon Utilities Easy-PhotoPrint EX-->C:\Programme\Canon\Easy-PhotoPrint EX\uninst.exe uninst.ini Canon Utilities Solution Menu-->C:\Programme\Canon\SolutionMenu\uninst.exe uninst.ini CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" CD-LabelPrint-->"C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application CIB pdf Plug-in 1.3.25-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{62A5F5BC-CDAC-4F44-A2A9-C30A1BCBCA6B}\setup.exe" -l0x7 -uninst CircleSurround II Plugin for Windows Media Player-->MsiExec.exe /I{135BFFD7-D9C1-4374-B18C-BEB64FC7851C} Corel Paint Shop Pro Photo X2-->MsiExec.exe /X{64E72FB1-2343-4977-B4A8-262CD53D0BD3} Creation Master 07 Ultimate Version-->"C:\Programme\Fifa Master\Creation Master 07\unins000.exe" CyberLink PowerDVD 9-->"C:\Programme\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\setup.exe" /z-uninstall CyberLink PowerDVD 9-->"C:\Programme\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\setup.exe" /z-uninstall devolo MicroLink dLAN Konfigurations-Assistent-->C:\Programme\devolo\setup.exe /remove:dlanconf devolo MicroLink EasyClean-->C:\Programme\devolo\setup.exe /remove:easyclean devolo MicroLink Informer-->C:\Programme\devolo\setup.exe /remove:dslmon DFX 8 for Windows Media Player-->MsiExec.exe /I{ad8d7882-5bc4-43a5-b54c-e96a4995ead9} DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN DivxToDVD 1.99.11-->"C:\Programme\vso\DivxToDVD\unins000.exe" DVD-lab PRO 2.51-->"C:\Programme\DVDlabPro2\unins000.exe" EA SPORTS online 2007-->C:\Programme\EA SPORTS\EA SPORTS online\EASOUNInstaller.exe Eraser 5.8.7-->"C:\Programme\Eraser\unins000.exe" FIFA 07-->C:\Programme\EA SPORTS\FIFA 07\EAUninstall.exe FlashGet 1.9.6.1073-->C:\Programme\FlashGet\uninst.exe FLV Player 2.0, build 24-->C:\Programme\FLV Player\uninst.exe Furnplan now! by hülsta 8.0-->C:\PROGRA~1\FURNPL~1\UNWISE.EXE C:\PROGRA~1\FURNPL~1\INSTALL.LOG HD Tune Pro 3.50-->"C:\Programme\HD Tune Pro\unins000.exe" HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" ImgBurn-->"C:\Programme\ImgBurn\uninstall.exe" IsoBuster 2.1-->"C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe" jv16 PowerTools 2008-->"C:\Programme\jv16 PowerTools 2008\unins000.exe" Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55} Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55} MAGIX Foto Manager 2007 (D)-->C:\Programme\MAGIX\Foto_Manager_2007\instslct.exe MAGIX Music Manager 2006 (D)-->C:\Programme\MAGIX\Music_Manager_2006\instslct.exe Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7} Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{527BBE2F-1FED-3D8B-91CB-4DB0F838E69E} mIRC-->"C:\Programme\mIRC\mirc.exe" -uninstall Mozilla Firefox (3.5.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Mp3tag v2.43-->C:\Programme\Mp3tag\Mp3tagUninstall.EXE MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08} NeroLiveGadget-->MsiExec.exe /X{9e9fdde6-2c26-492a-85a0-05646b3f2795} neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} NVIDIA Drivers-->C:\WINDOWS\system32\NVUNINST.EXE UninstallGUI NvMixer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D7A6C517-11F2-419F-B5BB-27772B939698}\Setup.exe" -uninstall Opera 9.62-->MsiExec.exe /X{D9226EB1-C528-48AC-B423-BD9240E1F60B} PDF Blender-->C:\Programme\PDF Blender\uninstall.exe PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5} PIXMA Extended Survey Program-->C:\Programme\Canon\IJPLM\SETUP.EXE -R Prestige 1.0-->"C:\Programme\Vortex Prestige\unins000.exe" Real Alternative 1.9.0-->"C:\Programme\Real Alternative\unins000.exe" Roland Garros 2000-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Cryo Interactive\Roland Garros 2000\Uninst.isu" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" SopCast 3.0.3-->C:\Programme\SopCast\uninst.exe Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004} Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins001.exe" TVUPlayer 2.3.2.19-->C:\Programme\TVUPlayer\uninst.exe Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027} VLC media player 0.9.9-->C:\Programme\VideoLAN\VLC\uninstall.exe WD Diagnostics-->MsiExec.exe /X{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B} WD Drive Manager (x86)-->MsiExec.exe /X{E934E2A2-BE3B-4C1A-A3D9-753FFB2B38B4} Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe" Winamp-->"C:\Programme\Winamp\UninstWA.exe" Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840} Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe Xvid 1.1.3 final uninstall-->"C:\Programme\Xvid\unins000.exe" =====HijackThis Backups===== O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) [2009-07-25] ======Hosts File====== 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com ======Security center information====== AV: Kaspersky Internet Security (disabled) FW: Kaspersky Internet Security (disabled) ======System event log====== Computer Name: *** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Anwendungsverwaltung" gesendet. Record Number: 52962 Source Name: Service Control Manager Time Written: 20090726195950.000000+120 Event Type: Informationen User: ***\*** Computer Name: *** Event Code: 7023 Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: Das angegebene Modul wurde nicht gefunden. Record Number: 52961 Source Name: Service Control Manager Time Written: 20090726195950.000000+120 Event Type: Fehler User: Computer Name: *** Event Code: 7036 Message: Dienst "Anwendungsverwaltung" befindet sich jetzt im Status "Beendet". Record Number: 52960 Source Name: Service Control Manager Time Written: 20090726195950.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Anwendungsverwaltung" gesendet. Record Number: 52959 Source Name: Service Control Manager Time Written: 20090726195950.000000+120 Event Type: Informationen User: ***\*** Computer Name: *** Event Code: 7023 Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet: Das angegebene Modul wurde nicht gefunden. Record Number: 52958 Source Name: Service Control Manager Time Written: 20090726195950.000000+120 Event Type: Fehler User: =====Application event log===== Computer Name: *** Event Code: 1004 Message: Erkennung von Produkt "{90110407-6000-11D3-8CFE-0150048383C9}", Funktion "OfficeUserData" und Komponente "{4A31E933-6F67-11D2-AAA2-00A0C90F57B0}" fehlgeschlagen. Die Ressource "HKEY_CURRENT_USER\Software\ODBC\ODBC.INI\Microsoft Access-Datenbank\" ist nicht vorhanden. Record Number: 5 Source Name: MsiInstaller Time Written: 20020101010100.000000+060 Event Type: Warnung User: ***\*** Computer Name: *** Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 4 Source Name: SecurityCenter Time Written: 20020101010023.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 1 Message: Record Number: 3 Source Name: Bonjour Service Time Written: 20020101010020.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 105 Message: The service was started. Record Number: 2 Source Name: PLFlash DeviceIoControl Service Time Written: 20020101010020.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 0 Message: Record Number: 1 Source Name: Nero BackItUp Scheduler 3 Time Written: 20020101010020.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD "PROCESSOR_REVISION"=0a00 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- Hoffe du kannst etwas damit anfangen. Ich bin schon gespannt was ich als nächsten Schritt zu tun habe. Gruß Kuss80 |
Das fiese Teil hat sich als Treiber für den abgesicherten Modus eingetragen. Versuchen wir in mit Gmer zu erwischen. GMER - Rootkit Detection http://pic.leech.it/i/ab0bc/635985fgmer60.jpg
ciao, andreas |
Hallo Kuss80, wenn ich das so lese, kann ich es kaum ertragen. Dieses System ist möglicherweise nie mehr richtig vertrauenswürdig, jedenfalls kann man sich da nicht sooo richtig sicher sein finde ich. Ich möchte dir da nicht reinreden, aber eine Neuaufsetzung des Systems ist im Zweifelsfall der bessere Weg. Naja, es scheint ja so, als ob ihr die Bösewichte erwischt habt. wünsche noch viel Erfolg bei der Malware jagt;) Gruß habanero |
Moin Moin, hier nun das Ergebnis von GMER: GMER 1.0.15.14972 - h**p://www.gmer.net Rootkit scan 2009-07-30 04:39:07 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xEB6D71DA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xEB6D77AE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xEB6D91EA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xEB6D8B9C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xEB6D6950] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xEB6DAB7C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xEB6D75AE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xEB6D6D92] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xEB6D6F92] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xEB6D8EAC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xEB6DB084] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xEB6D70A8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xEB6D7110] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xEB6D8D5E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xEB6DA620] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xEB6D89F8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xEB6D6AB2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xEB6D73B2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xEB6DABA6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xEB6D72FE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xEB6D7178] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xEB6D6E7C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xEB6D6C5A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xEB6DA888] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xEB6D65D2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xEB6D9A74] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xEB6D6734] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xEB6DAF56] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xEB6D63D0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xEB6D908C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xEB6D76AC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xEB6DA71A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xEB6DABD0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xEB6D6B08] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xEB6DACB4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xEB6DADE0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xEB6DA54C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xEB6D747E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xEB6D74F0] Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!_abnormal_termination + 440 804E2A9C 12 Bytes [B4, AC, 6D, EB, E0, AD, 6D, ...] .text ntoskrnl.exe!IoIsOperationSynchronous 804E875A 5 Bytes JMP EB6EE9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) .text ntoskrnl.exe!FsRtlCheckLockForReadAccess 80512919 5 Bytes JMP EB6EE626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload F59378AC 5 Bytes JMP 8692C780 ? System32\Drivers\aathpx20.SYS Das System kann den angegebenen Pfad nicht finden. ! ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F761E886] sptd.sys IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F761E832] sptd.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7640892] sptd.sys IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F761E886] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7608AD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7608C1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7608B9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7609748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F760961E] sptd.sys IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F761DACA] sptd.sys IAT \SystemRoot\System32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F6F4A670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F6F4A670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\HIDCLASS.SYS[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\Drivers\Udfs.SYS[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice] [F6F4A520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) |
---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 86F631E8 AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.) Device \FileSystem\Fastfat \FatCdrom 866567A0 Device \FileSystem\Udfs \UdfsCdRom 861CB7A0 Device \FileSystem\Udfs \UdfsDisk 861CB7A0 AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) Device \Driver\usbohci \Device\USBPDO-0 86B271E8 Device \Driver\usbohci \Device\USBPDO-1 86B271E8 Device \Driver\usbehci \Device\USBPDO-2 86B261E8 AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD31E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD31E8 Device \Driver\Cdrom \Device\CdRom0 86AD61E8 Device \Driver\Ftdisk \Device\HarddiskVolume3 86FD31E8 Device \Driver\Cdrom \Device\CdRom1 86AD61E8 Device \Driver\Ftdisk \Device\HarddiskVolume4 86FD31E8 Device \Driver\Cdrom \Device\CdRom2 86AD61E8 Device \Driver\Ftdisk \Device\HarddiskVolume5 86FD31E8 Device \Driver\Cdrom \Device\CdRom3 86AD61E8 Device \Driver\Cdrom \Device\CdRom4 86AD61E8 Device \Driver\Cdrom \Device\CdRom5 86AD61E8 Device \Driver\NetBT \Device\NetBt_Wins_Export 8665D7A0 Device \Driver\PCI_NTPNP3800 \Device\0000004a sptd.sys Device \Driver\sbp2port \Device\Sbp2Port0 86FD01E8 Device \Driver\NetBT \Device\NetbiosSmb 8665D7A0 Device \Driver\sbp2port \Device\Sbp2Port1 86FD01E8 AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) Device \Driver\usbohci \Device\USBFDO-0 86B271E8 Device \Driver\sbp2port \Device\Sbp2\WD&My Book&0&0090a9a3_97e35020_Instance00 86FD01E8 Device \Driver\sbp2port \Device\Sbp2\WD&My Book Device&1&0090a9a3_97e35020_Instance00 86FD01E8 Device \Driver\usbohci \Device\USBFDO-1 86B271E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 868267A0 Device \Driver\usbehci \Device\USBFDO-2 86B261E8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 868267A0 Device \Driver\Ftdisk \Device\FtControl 86FD31E8 Device \Driver\aathpx20 \Device\Scsi\aathpx201Port2Path0Target1Lun0 86AA81E8 Device \Driver\SI3112r \Device\Scsi\SI3112r1Port0Path1Target0Lun0 86FD21E8 Device \Driver\aathpx20 \Device\Scsi\aathpx201 86AA81E8 Device \Driver\SI3112r \Device\Scsi\SI3112r1Port0Path0Target0Lun0 86FD21E8 Device \Driver\aathpx20 \Device\Scsi\aathpx201Port2Path0Target0Lun0 86AA81E8 Device \Driver\SI3112r \Device\Scsi\SI3112r1 86FD21E8 Device \Driver\aathpx20 \Device\Scsi\aathpx201Port2Path0Target2Lun0 86AA81E8 Device \FileSystem\Fastfat \Fat 866567A0 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs 8671E1E8 Device \FileSystem\Cdfs \Cdfs B7BE7BCE ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x99 0x28 0x70 0x6E ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x38 0x1A 0xB4 0x64 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x0F 0x81 0x6D 0x62 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xA6 0x2F 0xBE 0xA1 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0xC1 0x26 0xED 0x4A ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x99 0x28 0x70 0x6E ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x38 0x1A 0xB4 0x64 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x0F 0x81 0x6D 0x62 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xA6 0x2F 0xBE 0xA1 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0xC1 0x26 0xED 0x4A ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x29 0x8E 0xDD 0x43 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x0C 0xA7 0x7D 0x50 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x0F 0x81 0x6D 0x62 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xA6 0x2F 0xBE 0xA1 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x66 0xA0 0xF2 0xEE ... Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.15 ---- Danke habanero, wenn gar nichts mehr hilft, dann muss ich eben das Ganze neu aufsetzen. We'll see. Mal sehen wie es jetzt weitergeht. Noch nen schönen Tag wünscht Kuss80. |
Die Rootkits sind tot. ComboFix hat vermutlich deshalb solange gebraucht, weil er 150 MB gelöscht hat. 1.) Start => Ausführen => C:\WINDOWS\gmer_uninstall => OK 2.) Start => Ausführen => combofix /u => OK 3.) Lade dir hier ein neues ComboFix und starte es nach obiger Anleitung. ciao, andreas |
Abend, endlich hat es geklappt und ComboFix ist nicht eingefroren. Hier die Infos aus der Logfile: ComboFix 09-07-29.04 - *** 30.07.2009 21:00.3.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.657 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0} . ((((((((((((((((((((((( Dateien erstellt von 2009-06-28 bis 2009-07-30 )))))))))))))))))))))))))))))) . 2009-07-30 18:55 . 2009-07-30 18:55 -------- d-s---w- C:\cofi 2009-07-29 18:59 . 2009-07-29 19:00 -------- d-----w- C:\rsit 2009-07-29 17:03 . 2009-07-29 17:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ImgBurn 2009-07-29 16:32 . 2009-07-29 16:32 -------- d-----w- c:\programme\ImgBurn 2009-07-28 15:40 . 2009-07-28 15:40 -------- d-----w- c:\programme\CCleaner 2009-07-27 20:39 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe 2009-07-27 20:27 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys 2009-07-27 20:20 . 2009-07-27 20:20 200480 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-07-27 20:18 . 2009-07-27 20:18 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864} 2009-07-27 20:18 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe 2009-07-27 20:17 . 2009-07-27 20:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-07-27 20:17 . 2009-07-27 20:17 -------- d-----w- c:\programme\Lavasoft 2009-07-27 20:16 . 2001-12-31 22:01 -------- d-----w- c:\windows\SxsCaPendDel 2009-07-26 22:02 . 2009-07-26 22:02 -------- d-----w- c:\programme\Astonsoft 2009-07-26 18:56 . 2009-03-02 13:02 1700352 ----a-w- c:\windows\system32\GdiPlus.dll 2009-07-26 18:47 . 2009-07-26 18:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe_Limited 2009-07-26 17:47 . 2009-07-26 17:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero 2009-07-24 13:23 . 2009-07-24 13:23 54784 ----a-w- c:\windows\system32\drivers\UACucyawspvus.sys 2009-07-22 17:03 . 2009-07-30 18:54 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Eraser 2009-07-22 17:02 . 2009-06-10 13:22 83344 ----a-w- c:\windows\system32\Erasext.dll 2009-07-22 17:02 . 2009-06-10 13:22 307088 ----a-w- c:\windows\system32\Eraser.dll 2009-07-22 17:02 . 2009-06-10 13:22 73104 ----a-w- c:\windows\system32\Eraserl.exe 2009-07-22 17:02 . 2009-07-22 17:02 -------- d-----w- c:\programme\Eraser 2009-07-14 19:49 . 2009-07-14 19:53 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SolidDocuments 2009-07-14 19:48 . 2009-07-14 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SolidDocuments 2009-07-14 19:43 . 2009-07-14 19:59 -------- d-----w- c:\programme\PDF Password Remover v3.0 2009-07-14 19:37 . 2009-07-14 19:41 -------- d-----w- c:\programme\PDF Passwort Knacker 1 2009-07-14 19:37 . 2009-07-14 19:37 80896 ----a-w- c:\windows\cadkasdeinst01.exe 2009-07-14 19:12 . 2009-07-14 20:30 -------- d-----w- c:\programme\ElcomSoft 2009-07-14 12:43 . 2009-07-22 22:19 -------- d-----w- c:\dokumente und einstellungen\***\Bücher 2009-07-08 14:05 . 2009-07-08 14:05 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-30 18:53 . 2009-02-19 21:04 1089568 --sha-w- c:\windows\system32\drivers\fidbox2.dat 2009-07-30 18:53 . 2009-02-19 21:04 7948 --sha-w- c:\windows\system32\drivers\fidbox2.idx 2009-07-30 18:50 . 2001-12-31 23:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-07-30 16:27 . 2009-02-19 21:04 5644832 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-07-30 16:27 . 2009-02-19 21:04 48324 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-07-30 15:56 . 2007-07-05 19:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-29 14:26 . 2001-08-18 12:00 80928 ----a-w- c:\windows\system32\perfc007.dat 2009-07-29 14:26 . 2001-08-18 12:00 451970 ----a-w- c:\windows\system32\perfh007.dat 2009-07-28 20:33 . 2007-07-05 19:05 81216 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-07-27 15:00 . 2009-01-03 19:52 -------- d-----w- c:\programme\PokerStars 2009-07-27 15:00 . 2008-10-18 20:53 -------- d-----w- c:\programme\Enigma Software Group 2009-07-26 12:09 . 2007-07-10 15:33 -------- d-----w- c:\programme\mIRC 2009-07-22 12:28 . 2009-02-19 21:16 208616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe 2009-06-26 16:49 . 2001-08-18 12:00 672256 ----a-w- c:\windows\system32\wininet.dll 2009-06-26 16:49 . 2004-08-04 07:57 81920 ------w- c:\windows\system32\ieencode.dll 2009-06-16 14:36 . 2001-08-18 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 2001-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-09 18:31 . 2009-06-09 18:31 -------- d-----w- c:\programme\HD Tune Pro 2009-06-08 19:29 . 2009-06-08 19:27 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\vlc 2009-06-06 12:09 . 2009-06-06 12:09 -------- d-----w- c:\programme\DVDlabPro2 2009-06-03 19:09 . 2001-08-18 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll 2009-05-21 17:55 . 2009-02-19 21:05 105395 ----a-w- c:\windows\system32\drivers\klin.dat 2009-05-21 17:55 . 2009-02-19 21:05 94643 ----a-w- c:\windows\system32\drivers\klick.dat 2009-05-09 07:49 . 2008-09-29 17:27 353576 ----a-w- c:\windows\system32\msvcr71.dll 2009-05-09 07:48 . 2009-05-09 07:49 53319 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe 2009-05-09 07:48 . 2008-09-29 17:27 505128 ----a-w- c:\windows\system32\msvcp71.dll 2009-05-08 15:41 . 2009-05-08 15:41 1915520 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe 2009-05-07 15:32 . 2001-08-18 12:00 348160 ----a-w- c:\windows\system32\localspl.dll 2009-05-05 19:56 . 2009-05-05 19:56 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLbx.DAT 2001-12-31 22:03 . 2009-07-08 14:05 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll 2008-10-01 03:53 . 2008-10-01 03:53 23 --sha-w- c:\windows\system32\becbbfe3_z.dll 2008-11-22 10:50 . 2007-11-25 15:05 1056 --sha-w- c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Eraser"="c:\programme\Eraser\Eraser.exe" [2009-06-10 334224] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Vistadrv"="c:\programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe" [2006-07-30 121089] "WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-05-16 430080] "CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696] "CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152] "AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-22 208616] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "RemoteControl9"="c:\programme\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336] "PDVD9LanguageShortcut"="c:\programme\CyberLink\PowerDVD9\Language\Language.exe" [2008-10-13 50472] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\ Allzeit Atomzeit.lnk - c:\programme\Allzeit Atomzeit\Atomzeit.exe [2007-4-16 77824] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="prestigeUI.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "AdobeUpdater"=c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\mIRC\\mirc.exe"= "c:\\Programme\\FlashGet\\flashget.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Opera\\opera.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [27.07.2009 22:27 64160] R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [05.07.2007 19:26 97408] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456] R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 11:21 17280] R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [16.05.2008 17:12 102400] R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592] R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [04.10.2008 08:56 11520] S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\System32\PLCMPR5.SYS --> c:\windows\System32\PLCMPR5.SYS [?] . Inhalt des "geplante Tasks" Ordners 2009-07-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49] . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-TDSSpqlt.sys . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.com mStart Page = hxxp://www.google.com uInternet Settings,ProxyOverride = *.local IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\an0bhm57.default\ FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.h**p.prompt-temp-redirect", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "h**ps://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2009-07-30 21:06 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(1860) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2009-07-30 21:09 ComboFix-quarantined-files.txt 2009-07-30 19:09 Vor Suchlauf: 5.512.224.768 Bytes frei Nach Suchlauf: 5.490.393.088 Bytes frei 218 --- E O F --- 2009-07-30 02:54 Bin schon voller Spannung wie es weiter geht. Gruß Kuss80 |
1.) Lade die Datei Code: c:\windows\system32\drivers\UACucyawspvus.sysDie wird an 39 AVP/AMP-Hersteller geschickt, damit sie in Zukunft erkannt wird. 2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas Edit: Kaspersky sieht nicht gut aus. Die hängen bei den TDSS-Varianten immer zurück. Code: Datei UACucyawspvus.sys empfangen 2009.07.30 20:13:07 (UTC) |
Hallo Andreas und Co., hier nun die Infos des Panda Active Scan: ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-07-31 15:17:49 PROTECTIONS: 1 MALWARE: 29 SUSPECTS: 5 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== Kaspersky Internet Security 8.0.0.506 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00039703 Application/Pskill.A HackTools No 0 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[pskill.exe] 00055522 Eicar.Mod Virus No 0 No No E:\von_Sonstiges\Software\Sicherheit\Kaspery AV\Version 4.5.0.48\Setup\data1.cab[eicar.html] 00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@247realmedia[1].txt 00145466 Cookie/Advertising TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt] 00145466 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt] 00145466 Cookie/Advertising TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt] 00145466 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt] 00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt] 00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt 00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt 00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt] 00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt] 00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt] 00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt 00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@adverserve[1].txt 00147051 Cookie/Exit-ad TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt] 00147051 Cookie/Exit-ad TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt] 00147051 Cookie/Exit-ad TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt] 00147051 Cookie/Exit-ad TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt] 00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@com[1].txt 00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt 00167747 Cookie/Azjmp TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@azjmp[1].txt 00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@ad.yieldmanager[2].txt 00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[1].txt 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt 00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@adtech[1].txt 00169190 Cookie/Advertising TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt] 00169190 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt] 00169190 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt] 00169190 Cookie/Advertising TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt] 00198221 Joke/Metro Jokes No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe] 00198221 Joke/Metro Jokes No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe] 00198221 Joke/Metro Jokes No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe] 00198221 Joke/Metro Jokes No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe] 00252092 Exploit/WinampPLS HackTools No 0 Yes No D:\Filesharing\mIRC\Incoming_files\downloads\Jay-Z-The.Black.Remixes.tar 00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@atwola[1].txt 00475627 Bck/Bifrose.BHN Virus/Trojan No 1 Yes No C:\WindowBlinds\V 6.01 german\Patcher.exe 00571380 Trj/PWSteal.EE Virus/Trojan No 0 Yes No C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe 00590315 Rootkit/Agent.LNB HackTools No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\drivers\cevunfd.sys.vir] 00889180 Generic Backdoor Virus/Trojan No 0 No No E:\von_Sonstiges\Software\Sicherheit\Kaspery AV\Version 4.5.0.48\Setup\data1.cab[klif.sys] 01650218 Generic Malware Virus/Trojan No 0 Yes No E:\von_Sonstiges\Software\Accessdiver\ad4103.exe 01905311 Trj/Rizalof.RV Virus/Trojan No 1 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[Delete Temp Files.exe] 01905311 Trj/Rizalof.RV Virus/Trojan No 1 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[Remove FlyakiteOSX Folder.exe] 02918065 Generic Worm Virus/Worm No 0 Yes No E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_X2_v12.0\CR-PSP12.exe 03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UAChymvbkrbox.dll.vir] 03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACnufsevjhkl.dll.vir] 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\WINDOWS\system32\drivers\UACucyawspvus.sys 03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACytlgvruvoy.dll.vir] 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe 03738741 Generic Malware Virus/Trojan No 0 No No D:\Software\Windows\DownloadManager\Cryptload\CryptLoad_1.1.5.rar[ocr\netload.in\asmCaptcha\test.exe] 03738741 Generic Malware Virus/Trojan No 0 Yes No C:\Downloads\cryptload\ocr\netload.in\asmCaptcha\test.exe 03899034 Generic Malware Virus/Trojan No 0 Yes No E:\System Volume Information\_restore{F2336E24-BC15-4D06-9B4F-8974CC7ADDC9}\RP205\A0036319.exe ;===================================================================================================================================================== ============================== SUSPECTS Sent Location 6 ;===================================================================================================================================================== ============================== 6 No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\install.exe.vir] 6 No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACtqfuiqppjd.dll.vir] 6 No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\usercashcom.dll] 6 No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\xeem.dll] 6 No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\xvidznet.dll] 6 ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description 6 ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== So, und nun mach ich mal an PrevXCSI ran. Grüße Kuss80 |
Und hier noch das Ergebnis von Prevx: http://pic.leech.it/i/a0e18/03602e6prevx.jpg Welche Aufgaben sollte ich nun als nächstes durchführen? Vielen Dank nochmals für die bisherige Hife. Gruß Kuss80 |
Sorgen wir erstmal dafür, dass der Programmierer von ComboFix die Datei erhält, die übersehen wurde. Scripten mit Combofix
Code: http://www.trojaner-board.de/75830-win32trojan-tdss-laesst-sich-nicht-entfernen.html
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. Additional Infos: Registry Entry Legacy_TDSSSERV.reg Code: Windows Registry Editor Version 5.00Code: Windows Registry Editor Version 5.00Code: REGEDIT4 |
Guten Morgen Daniel, habe deine Instruction befolgt und hier nun die Infos der ComboFix-Logfile: ComboFix 09-07-31.04 - Markus(s) 01.08.2009 9:23.4.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.687 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Markus(s)\Desktop\cofi.exe.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Markus(s)\Desktop\cfscript.txt AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0} file zipped: c:\windows\system32\drivers\UACucyawspvus.sys . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\UACucyawspvus.sys . ((((((((((((((((((((((( Dateien erstellt von 2009-07-01 bis 2009-08-01 )))))))))))))))))))))))))))))) . 2009-07-31 13:49 . 2009-07-31 13:49 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys 2009-07-31 13:49 . 2009-07-31 13:49 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys 2009-07-31 13:49 . 2009-07-31 13:49 -------- d-----w- c:\programme\Prevx 2009-07-31 13:49 . 2009-07-31 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI 2009-07-30 20:02 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys 2009-07-30 20:01 . 2009-07-30 20:01 -------- d-----w- c:\programme\Panda Security 2009-07-28 15:40 . 2009-07-28 15:40 -------- d-----w- c:\programme\CCleaner 2009-07-27 20:39 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe 2009-07-27 20:27 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys 2009-07-27 20:20 . 2009-07-27 20:20 200480 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-07-27 20:18 . 2009-07-27 20:18 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864} 2009-07-27 20:18 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe 2009-07-27 20:17 . 2009-07-27 20:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-07-27 20:17 . 2009-07-27 20:17 -------- d-----w- c:\programme\Lavasoft 2009-07-27 20:16 . 2001-12-31 22:01 -------- d-----w- c:\windows\SxsCaPendDel 2009-07-26 22:02 . 2009-07-26 22:02 -------- d-----w- c:\programme\Astonsoft 2009-07-26 18:56 . 2009-03-02 13:02 1700352 ----a-w- c:\windows\system32\GdiPlus.dll 2009-07-26 18:47 . 2009-07-26 18:47 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\Canneverbe_Limited 2009-07-26 17:47 . 2009-07-26 17:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero 2009-07-22 17:03 . 2009-08-01 07:19 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser 2009-07-22 17:02 . 2009-06-10 13:22 83344 ----a-w- c:\windows\system32\Erasext.dll 2009-07-22 17:02 . 2009-06-10 13:22 307088 ----a-w- c:\windows\system32\Eraser.dll 2009-07-22 17:02 . 2009-06-10 13:22 73104 ----a-w- c:\windows\system32\Eraserl.exe 2009-07-22 17:02 . 2009-07-22 17:02 -------- d-----w- c:\programme\Eraser 2009-07-14 19:49 . 2009-07-14 19:53 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\SolidDocuments 2009-07-14 19:48 . 2009-07-14 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SolidDocuments 2009-07-14 19:43 . 2009-07-14 19:59 -------- d-----w- c:\programme\PDF Password Remover v3.0 2009-07-14 19:37 . 2009-07-14 19:41 -------- d-----w- c:\programme\PDF Passwort Knacker 1 2009-07-14 19:37 . 2009-07-14 19:37 80896 ----a-w- c:\windows\cadkasdeinst01.exe 2009-07-14 19:12 . 2009-07-14 20:30 -------- d-----w- c:\programme\ElcomSoft 2009-07-14 12:43 . 2009-07-22 22:19 -------- d-----w- c:\dokumente und einstellungen\Sofi\Bücher 2009-07-08 14:05 . 2009-07-08 14:05 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Mozilla . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-01 07:07 . 2001-12-31 23:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-07-31 15:49 . 2009-02-19 21:04 7976 --sha-w- c:\windows\system32\drivers\fidbox2.idx 2009-07-31 15:49 . 2009-02-19 21:04 5877792 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-07-31 15:49 . 2009-02-19 21:04 50144 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-07-31 15:49 . 2009-02-19 21:04 1097760 --sha-w- c:\windows\system32\drivers\fidbox2.dat 2009-07-31 13:26 . 2008-09-28 20:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft 2009-07-30 15:56 . 2007-07-05 19:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-29 17:19 . 2009-07-29 17:03 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\ImgBurn 2009-07-29 16:32 . 2009-07-29 16:32 -------- d-----w- c:\programme\ImgBurn 2009-07-29 14:26 . 2001-08-18 12:00 80928 ----a-w- c:\windows\system32\perfc007.dat 2009-07-29 14:26 . 2001-08-18 12:00 451970 ----a-w- c:\windows\system32\perfh007.dat 2009-07-28 20:33 . 2007-07-05 19:05 81216 ----a-w- c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-07-27 15:00 . 2009-01-03 19:52 -------- d-----w- c:\programme\PokerStars 2009-07-27 15:00 . 2008-10-18 20:53 -------- d-----w- c:\programme\Enigma Software Group 2009-07-26 12:09 . 2007-07-10 15:33 -------- d-----w- c:\programme\mIRC 2009-07-22 12:28 . 2009-02-19 21:16 208616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe 2009-06-26 16:49 . 2001-08-18 12:00 672256 ----a-w- c:\windows\system32\wininet.dll 2009-06-26 16:49 . 2004-08-04 07:57 81920 ------w- c:\windows\system32\ieencode.dll 2009-06-16 14:36 . 2001-08-18 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 2001-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-09 18:31 . 2009-06-09 18:31 -------- d-----w- c:\programme\HD Tune Pro 2009-06-08 19:29 . 2009-06-08 19:27 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\vlc 2009-06-06 12:09 . 2009-06-06 12:09 -------- d-----w- c:\programme\DVDlabPro2 2009-06-03 19:09 . 2001-08-18 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll 2009-05-21 17:55 . 2009-02-19 21:05 105395 ----a-w- c:\windows\system32\drivers\klin.dat 2009-05-21 17:55 . 2009-02-19 21:05 94643 ----a-w- c:\windows\system32\drivers\klick.dat 2009-05-09 07:49 . 2008-09-29 17:27 353576 ----a-w- c:\windows\system32\msvcr71.dll 2009-05-09 07:48 . 2009-05-09 07:49 53319 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe 2009-05-09 07:48 . 2008-09-29 17:27 505128 ----a-w- c:\windows\system32\msvcp71.dll 2009-05-08 15:41 . 2009-05-08 15:41 1915520 ----a-w- c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe 2009-05-07 15:32 . 2001-08-18 12:00 348160 ----a-w- c:\windows\system32\localspl.dll 2009-05-05 19:56 . 2009-05-05 19:56 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLbx.DAT 2001-12-31 22:03 . 2009-07-08 14:05 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll 2008-10-01 03:53 . 2008-10-01 03:53 23 --sha-w- c:\windows\system32\becbbfe3_z.dll 2008-11-22 10:50 . 2007-11-25 15:05 1056 --sha-w- c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Eraser"="c:\programme\Eraser\Eraser.exe" [2009-06-10 334224] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Vistadrv"="c:\programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe" [2006-07-30 121089] "WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-05-16 430080] "CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696] "CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152] "AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-22 208616] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "RemoteControl9"="c:\programme\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336] "PDVD9LanguageShortcut"="c:\programme\CyberLink\PowerDVD9\Language\Language.exe" [2008-10-13 50472] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Markus(s)\Startmen�\Programme\Autostart\ Allzeit Atomzeit.lnk - c:\programme\Allzeit Atomzeit\Atomzeit.exe [2007-4-16 77824] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="prestigeUI.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSpqlt.sys] @="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "AdobeUpdater"=c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\mIRC\\mirc.exe"= "c:\\Programme\\FlashGet\\flashget.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Opera\\opera.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [27.07.2009 22:27 64160] R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [30.07.2009 22:02 28544] R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [31.07.2009 15:49 22024] R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [31.07.2009 15:49 27656] R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [05.07.2007 19:26 97408] R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [31.07.2009 15:49 4368952] R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 11:21 17280] R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [16.05.2008 17:12 102400] R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456] S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\System32\PLCMPR5.SYS --> c:\windows\System32\PLCMPR5.SYS [?] S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [04.10.2008 08:56 11520] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - PAVBOOT . Inhalt des "geplante Tasks" Ordners 2009-07-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.com mStart Page = hxxp://www.google.com uInternet Settings,ProxyOverride = *.local IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\Mozilla\Firefox\Profiles\an0bhm57.default\ FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "h**ps://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2009-08-01 09:29 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-08-01 9:32 ComboFix-quarantined-files.txt 2009-08-01 07:32 ComboFix2.txt 2009-07-30 19:09 Vor Suchlauf: 5.424.787.456 Bytes frei Nach Suchlauf: 5.383.782.400 Bytes frei 228 --- E O F --- 2009-07-30 02:54 Hochladen war erfolgreich Gruß Kuss80 |
Da ist ein Fund von Panda, der eigentlich das Aus bedeutet: Code: Bck/Bifrose.BHN Virus/Trojan No 1 Yes No C:\WindowBlinds\V 6.01 german\Patcher.exeHast du die Datei jemals gestartet oder nur in Jäger- und Sammlermanier geladen? Lies, mit wem du es zu tun hast => Bifrost (trojan horse) - Wikipedia, the free encyclopedia ciao, andreas |
Hallo Daniel, die gewünschte Datei wurde hochgeladen. Die Datei wurde meines Erachtens nie ausgeführt, kann mich zumindest nicht daran erinnern. Wie soll ich denn nun weiterverfahren? Gruß Kuss80 |
Mh, Bifrost ist es nicht, aber das Ergebnis reicht dafür => http://www.kolobok.us/smiles/standart/punish.gif Du musst mir versprechen in Zukunft die Hände von Keygens, Cracks, Patches und Ähnlichen zu lassen. Nur dann geht es hier weiter. Das gilt auch für die Anderen, die den Rechner benutzen. Ich werde jetzt rigoros aufräumen. 1.) Deinstalliere:
Code: KILLALL::
Das Log wird sehr groß. Lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Hallo Andreas, ich verspreche zukünftig die Hände von Keygens, Cracks, Patches und Ähnlichen zu lassen. Für mich ist es wichtiger zu wissen, dass man sich sicher im WorldWideWeb bewegt! Dann werde ich mich mal an die von dir genannten Schritte ranmachen. Werde dann anschließend den link der Logfile posten. Gruß Kuss80 |
Hallo Andreas, ich habe 1.), 2.) und 3.) durchgeführt, jedoch ist ComboFix bei "Starte Windows neu ... Bitte warten" mal wieder eingefroren. Sollte ich evtl. nochmals eine neue ComboFix-Datei auf den Desktop speichern und nochmals ohne cfscript.txt ausführen? Gruß Kuss80 |
Packe bitte den Ordner c:\combofix mit Zip oder Rar, lade ihn bei einem Filehoster hoch und poste den Link. Zitat:
ciao, andreas |
OK, einen Ordner c:\combofix gibt es bei mir nicht. Meinst du evtl. c:\Qoobox??? Eine neue ComboFix lade ich mir dann mal auf den Desktop und führe erst einmal nichts aus. Gruß Kuss80 |
Ich brauche unbedingt die Logs um zu sehen, warum ComboFix nicht will. Das machen wir jetzt ganz anders. Erstelle ein Filelisting.
ciao, andreas |
Packe die Ordner Zitat:
ciao, andreas |
|
OK, jetzt ist es klar. Du hast sie in cofi.exe.exe umbenannt. Lösche die Ordner: Code: c:\coficiao, andreas |
Habe mir ne neue ComboFix ohne umzubenennen auf den Desktop geladen und das gepostete Script (cfscript.txt) daraufgezogen. Wie bereits gehabt, hat sich ComboFix bei "Starte Windows neu ... Bitte warten" aufgehängt. Kann es sein, dass am Inhalt des Scripts liegt, da die gewünschten Befehle bereits beim ersten Mal durchgeführt und die Dateien darin nicht mehr vorhanden sind? Gruß Kuss80 |
Lass ihn nochmal ohne Script durchlaufen, dann sehe ich das. ciao, andreas |
Der Weg hat leider auch kein Erfolg gebracht. An der gleichen Stelle wieder eingefroren. Irgendwas muss den Neustart von ComboFix stören. Was meinst du Andreas, sollten wir nochmals einen der anderen Schritte vorher durchführen? Gruß Kuss80 |
Liste der Anhänge anzeigen (Anzahl: 1) Wenn ComboFix partout nicht will, dann machen wir das halt anders. 1.) Lade dir den Anhang auf deinen Desktop, starte ihn mit Doppelklick, klicke auf Ja und lösche die Datei. 2.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Drivers to delete:
ciao, andreas |
Hallo Andreas, hat alles soweit funktioniert. Hier die Infos: Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Lbd" not found! Deletion of driver "Lbd" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pavboot" not found! Deletion of driver "pavboot" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pxscan" not found! Deletion of driver "pxscan" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pxsec" not found! Deletion of driver "pxsec" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\CSIScanner" not found! Deletion of driver "CSIScanner" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Lavasoft Ad-Aware Service" not found! Deletion of driver "Lavasoft Ad-Aware Service" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\catchme" not found! Deletion of driver "catchme" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Bonjour Service" not found! Deletion of driver "Bonjour Service" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\Tasks\Ad-Aware Update (Weekly).job" not found! Deletion of file "c:\windows\Tasks\Ad-Aware Update (Weekly).job" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT" deleted successfully. Error: file "c:\windows\system32\perfc007.dat" not found! Deletion of file "c:\windows\system32\perfc007.dat" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\system32\perfh007.dat" not found! Deletion of file "c:\windows\system32\perfh007.dat" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\cadkasdeinst01.exe" not found! Deletion of file "c:\windows\cadkasdeinst01.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\system32\Erasext.dll" not found! Deletion of file "c:\windows\system32\Erasext.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\system32\Eraser.dll" not found! Deletion of file "c:\windows\system32\Eraser.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\system32\Eraserl.exe" not found! Deletion of file "c:\windows\system32\Eraserl.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\system32\drivers\Lbd.sys" not found! Deletion of file "c:\windows\system32\drivers\Lbd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\system32\lsdelete.exe" not found! Deletion of file "c:\windows\system32\lsdelete.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\system32\drivers\pavboot.sys" not found! Deletion of file "c:\windows\system32\drivers\pavboot.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\system32\drivers\pxsec.sys" not found! Deletion of file "c:\windows\system32\drivers\pxsec.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\system32\drivers\pxscan.sys" not found! Deletion of file "c:\windows\system32\drivers\pxscan.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "D:\Software\Windows\DownloadManager\654.rar" not found! Deletion of file "D:\Software\Windows\DownloadManager\654.rar" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe" not found! Deletion of file "C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\programme\Prevx" not found! Deletion of folder "c:\programme\Prevx" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI" not found! Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\programme\Panda Security" not found! Deletion of folder "c:\programme\Panda Security" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}" not found! Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Programme\uTorrent" not found! Deletion of folder "C:\Programme\uTorrent" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0" not found! Deletion of folder "E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "E:\Software\Utilities\FlyakiteOSX Transformer" not found! Deletion of folder "E:\Software\Utilities\FlyakiteOSX Transformer" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "E:\von_Sonstiges\Software\Accessdiver" not found! Deletion of folder "E:\von_Sonstiges\Software\Accessdiver" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\WindowBlinds" not found! Deletion of folder "C:\WindowBlinds" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "D:\Filesharing" not found! Deletion of folder "D:\Filesharing" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\rsit" not found! Deletion of folder "C:\rsit" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft" not found! Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\programme\Lavasoft" not found! Deletion of folder "c:\programme\Lavasoft" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\windows\SxsCaPendDel" not found! Deletion of folder "c:\windows\SxsCaPendDel" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\Programme\Bonjour" not found! Deletion of folder "c:\Programme\Bonjour" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia" not found! Deletion of folder "c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy" not found! Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\programme\PDF Passwort Knacker 1" not found! Deletion of folder "c:\programme\PDF Passwort Knacker 1" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\programme\PDF Password Remover v3.0" not found! Deletion of folder "c:\programme\PDF Password Remover v3.0" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\programme\Eraser" not found! Deletion of folder "c:\programme\Eraser" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser" not found! Deletion of folder "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Bis auf einen Prozess hat wohl ComboFix schon alles beseitigt gehabt. Und nun, was soll ich als nächstes tun? (Evtl. ComboFix noch einmal versuchen?) Danke und Gruß Kuss80 |
1.) Neues Skript für Avenger: Code: Files to delete:Code: c:\avengerCode: c:\avenger.txt3.) Lade die Datei Code: C:\WINDOWS\system32\BASSMOD.dll4.) Was befindet sich in den Ordnern? Code: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uzwjopqnDieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 6.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas |
Hallo Andreas, hab jetzt so weit alles durch. zu 1.) Nach dem Neustart wurde mir folgendes von Kaspersky Internet Security 2009 gemeldet: http://pic.leech.it/i/2ae14/6d3f3c8ckaspzipexe.jpg Habe nichts angeklickt, jedoch verschwand die Meldung nach einer Weile von selber. zu 3.) Datei wurde gestern bereits hochgeladen. zu 4.) Die beiden Ordner sind leer und beinhalten keine Dateien. zu 5.) hier die die Logfile-Infos: ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Dienstag, 4. August 2009 15:48:16 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 3/08/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 2335924 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ L:\ O:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 194998 Viren gefunden: 0 Infizierte Objekte gefunden: 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 11:21:41 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\av39.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_events.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\segments.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\detected.idx Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\detected.rpt Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\g_objbt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\g_objdt.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\g_objid.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\report.rpt Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Markus(s)\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009080320090804\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Markus(s)\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Markus(s)\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox2.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox2.idx Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen D:\System Volume Information\_restore{18E9B3FA-C192-435E-90FD-140F9E190115}\RP8\change.log Das Objekt ist gesperrt übersprungen E:\PC Treiber\LG Updates\Jun.04\Firmware\GSA4081A101.exe Das Objekt ist gesperrt übersprungen E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen E:\System Volume Information\_restore{18E9B3FA-C192-435E-90FD-140F9E190115}\RP8\change.log Das Objekt ist gesperrt übersprungen K:\System Volume Information\_restore{18E9B3FA-C192-435E-90FD-140F9E190115}\RP8\change.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. zu 6.) Hier wurde mir folgendes angezeigt: http://pic.leech.it/i/4d9fc/487b8cacprevx04080.jpg Habe nicht bisher ausgewählt, noch ist die Meldung sichtbar. Und das Ergebnis: http://pic.leech.it/i/7ee8f/985ba9a6prevxresul.jpg Und nun, was soll ich als nächstes tun? Grüße Kuss80 |
Zitat:
Zitat:
Zitat:
Zitat:
Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten? ciao, andreas |
Hi Andreas, dann fangen wir mal an! Hier der link zur listing.txt: listing.txt Prevx hat alles schön repariert und dann einen Neustart durchgeführt. Die ComboFix wurde vom Desktop gelöscht und hier nun die Info aus der Logdatei von HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:21:20, on 04.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Prevx\prevx.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe C:\Programme\Allzeit Atomzeit\Atomzeit.exe C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe C:\Programme\Prevx\prevx.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\Markus(s)\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O4 - HKLM\..\Run: [Vistadrv] C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe O4 - Startup: Allzeit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing) O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe -- End of file - 4564 bytes Für mich ist eine enorm positive Veränderung am System festzustellen. Der Rechner fährt bereits schneller hoch, die Zugriffszeiten der Programme haben sich deutlich verbessert und mir kommt es auch so vor, als würde das I-Net schneller laufen. Was meinst du, welche Schritte sollten wir noch durchführen? Gruß und vielen Dank für die bisherige Hilfe Kuss80 |
1.) Deinstalliere PrevxCSI. Der MSIE ist total veraltet und unsicher, auch wenn du ihn nicht bentutzt, immer den aktuellen laden. 2.) Lösche die Dateien: Code: C:\WINDOWS\zip.exeCode: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uzwjopqnCode: Alle R1, O8, O9 und O16-Einträgeciao, andreas |
zu 1.) PrevxCSI wurde deinstalliert. Wegen dem MSIE, soll ich die Version 8 laden und diese installieren? Als Standard Browser verwende ich aktuell Opera, wobei ich am überlegen bin auf Firefox umzusteigen. zu 2 und 3.) Dateien und Ordner wurden gelöscht. zu 4.) Hier ist das Ergebnis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:23:52, on 04.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe C:\Programme\Allzeit Atomzeit\Atomzeit.exe C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Markus(s)\Desktop\HiJackThis.exe O4 - HKLM\..\Run: [Vistadrv] C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe O4 - Startup: Allzeit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe -- End of file - 2885 bytes Gruß Kuss80 |
Zitat:
Du bist entlassen. :) ciao, andreas |
MoinMoin Andreas, die letzten Tage bin ich leider nicht dazugekommen zu antworten, sorry. MSIE hab ich nun in der 8er-Version auf dem Rechner. Kann ich deine Antwort so deuten, dass wir mit der Beseitigung der Schädlinge somit am Ende sind? Kann ich die übrigen Dateien (z.B. listing1, backups (Ordner auf dem Desktop), sonstige logdateien) löschen und CCleaner deinstallieren? Was für Programme sollte ich den sonst aus dem Kaspersky InternetSecurity auf dem Rechner zur eigenen Sicherheit installieren? Oder sollte ich auf ein anderes Security-Programm, nach dem Ablauf meiner aktuellen Lizenz umsteigen? Möchte mich nochmals bei dir für die Hilfe bedanken (vielen Dank, Merci, Thank you, Gracias, Spacibo, ... :daumenhoc :daumenhoc :daumenhoc) Grüße Kuss80 |
Zitat:
Zitat:
Zitat:
Lies und folge allen Links => http://www.trojaner-board.de/454674-post35.html ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board