Trojaner-Board
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Worm_downad.ad ? (https://www.trojaner-board.de/85119-worm_downad-ad.html)

Snewi 26.04.2010 10:37
Kommt leider nicht in Frage der Aufwand ist zu groß und Zeit in der nicht Produziert wird zu klein :-( sonst keine Idee? Wenn auf den einzelnen Rechner von den Tools nichts gefunden wird kann so ein Scanner das auch über Netz erkennen! Vielleicht haben wir die Quelle noch nicht ausfindig machen können!

Gruß

cosinus 26.04.2010 10:54
Trotzdem müsstest Du jeden Rechner analysieren. Rechne mal nach ob das wirklich vom Aufwand weniger ist, als ein Master-Image zu erstellen und das auf allen anderen Rechnern zu verteilen :rolleyes:
Außerdem hast Du nach der Bereinigung keine Garantie auf saubere Systeme.

Snewi 26.04.2010 11:01
Das stimmt aber alle Systeme sind nicht gleich! Und nach dem Image müssten noch Anpassungen an jedes System vorgenommen werden die auch einen erheblichen MEhraufwand darstellen! Klar könnte man das nach und nach machen aber zur Zeit versuche ich noch die andere Variante!
Also wie soll ich bei jedem Rechner vorgehen?

Gruß

cosinus 26.04.2010 11:07
Mir fällt gerade auf, dass ich noch kein einziges Malwarebytes-Logfile gesehen habe. Poste bitte mal alle von diesem einen Client-Rechner.

Mach auch mal bitte einen neuen Durchgang auf dem Client mit malwarebytes, aktualisiere die Signaturen und machen einen Vollscan.

Snewi 27.04.2010 08:19
Hier das Log von Maleswarebytes:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4006

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

27.04.2010 02:00:47
mbam-log-2010-04-27 (02-00-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|H:\|I:\|J:\|K:\|M:\|V:\|W:\|X:\|Y:\|)
Durchsuchte Objekte: 854124
Laufzeit: 13 Stunde(n), 45 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 27.04.2010 08:32
Hm, also wenn auf dem Client die gleiche Virenwarnung immer noch kommt (auch nach Löschen durch den Virenscanner) aber im OSAM Log nichts mehr zu sehen ist, haben wir IMHO nur noch mit ner Live-CD eine Chance, da nicht das infizierte OS gebootet wird:

Systemscan mit OTLPE
  • Lade Dir zuerst ISOBurner herunter und installiere es.
  • Lade Dir dann OTLPE.iso von Oldtimer und brenne sie per Imagebrennfunktion auf eine leere CD-R.
  • Bei Verwendung von ISOBurner reicht ein Doppelklick auf OTLPE.iso.
  • Boote nun den infizierten Rechner von der OTLPE-CD (evtl. Reihenfolge im BIOS umstellen).
  • Dein System sollte nun einen REATOGO-X-PE Desktop anzeigen.
  • Starte OTLPE mit einem Doppelklick auf das OTLPE Icon.
  • "Do you wish to load the remote registry" und "Do you wish to load remote user profile(s) for scanning" mit Yes beantworten.
  • Entsichere die Box "Automatically Load All Remaining Users" wenn sie gewählt ist und drücke OK.
  • Im Block "Drivers" Use SafeList auswählen und dann mit Run Scan den Scan starten.
  • Nach dem Scan wird ein Logfile erstellt (C:\OTL.txt)
  • Kopiere dieses auf einen USB-Stick und poste es hier.

Snewi 27.04.2010 12:20
Hallo Cosinus,

habe noch mal ein Scan mit f-secure blacklight gemacht

Code:
04/27/10 10:28:17 [Info]: BlackLight Engine 1.0.67 initialized
04/27/10 10:28:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/27/10 10:28:17 [Note]: 7019 4
04/27/10 10:28:17 [Note]: 7005 0
04/27/10 10:28:31 [Note]: 7006 0
04/27/10 10:28:31 [Note]: 7011 3980
04/27/10 10:28:31 [Note]: 7026 0
04/27/10 10:28:31 [Note]: 7026 0
04/27/10 10:28:35 [Note]: FSRAW library version 1.7.1024
04/27/10 10:33:32 [Note]: 2000 1012
04/27/10 10:33:32 [Note]: 2000 1012
04/27/10 10:33:32 [Note]: 2000 1012
04/27/10 11:36:44 [Note]: 7007 0
Dann mit Gmer

Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-27 12:48:12
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pfryqaoc.sys


---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\senfilt.sys                                                          entry point in "init" section [0xB9B16F80]
.text          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                          section is writeable [0xA92D3000, 0x328BA, 0xE8000020]
.pklstb        C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                          entry point in ".pklstb" section [0xA9317000]
.relo2          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                          unknown last section [0xA9333000, 0x8E, 0x42000040]

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\System32\svchost.exe[1212] ntdll.dll!NtQueryInformationProcess                        7C91D7FE 5 Bytes  JMP 01A19DC2
.text          C:\WINDOWS\System32\svchost.exe[1212] NETAPI32.dll!NetpwPathCanonicalize                          597DA101 5 Bytes  JMP 01A19D62
.text          C:\WINDOWS\system32\svchost.exe[1320] ntdll.dll!NtQueryInformationProcess                        7C91D7FE 5 Bytes  JMP 00739DC2

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                            TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                          tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                            snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                            snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                            snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                      tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                          TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- Services - GMER 1.0.15 ----

Service        C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                [AUTO] tgtfckks                                                                                                                                                                                                                                                                                                                              <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@DisplayName                                      Config Universal
Reg            HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@Type                                              32
Reg            HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@Start                                            2
Reg            HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@ErrorControl                                      0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@ImagePath                                        %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@ObjectName                                        LocalSystem
Reg            HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@Description                                      F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg            HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks\Parameters                                       
Reg            HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks\Parameters@ServiceDll                            C:\WINDOWS\system32\dlzlnti.dll
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@Class          0x8C 0x87 0x5C 0x85 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@Class          0xEF 0xFC 0xDA 0x4C ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@Class          0x11 0x8E 0xB4 0xC6 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@Class          0x06 0xC0 0xA7 0x84 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@Class          0x0D 0xD8 0xD0 0xDC ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@Class          0xE1 0x62 0x26 0x42 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@Class          0x32 0xD0 0x64 0x76 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@Class          0x67 0xCF 0x1B 0x7A ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@Class          0x85 0xC4 0x93 0x0E ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@Class          0x7F 0xEC 0x7B 0x87 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@Class          0x95 0xA6 0x39 0xC9 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@Class          0x43 0xB9 0x8E 0x70 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@Class          0x71 0xCE 0x04 0x64 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@Class          0x10 0xBB 0xE2 0x52 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit@FindFlags                          14
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites                         

---- EOF - GMER 1.0.15 ----
und mit HJTscanlist:
Code:

                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                        º                                    º
                                    hjtscanlist v2.0             
                        º                                    º
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

Microsoft Windows XP [Version 5.1.2600]
 
 
C:

  27.04.2010 13:05      C:\WINDOWS --------- 0
  27.04.2010 13:05      C:\RECYCLER --------- 0
  27.04.2010 13:00      C:\Temp --------- 0
  27.04.2010 13:00      C:\Dokumente und Einstellungen --------- 0
        C:\pagefile.sys --------- 
  27.04.2010 12:55      C:\Config.Msi --------- 0
  27.04.2010 12:53      C:\System Volume Information --------- 0
  27.04.2010 11:38      C:\Programme --------- 0
  23.04.2010 17:00      C:\ToadDebug.txt --------- 34
  22.04.2010 16:33      C:\Win32.Worm.Downladup.Gen.log --------- 3046
  22.04.2010 14:38      C:\Cofi --------- 0
  22.04.2010 14:38      C:\ComboFix.txt --------- 18669
  22.04.2010 14:38      C:\Qoobox --------- 0
  25.02.2009 12:25      C:\NWC --------- 0
  16.10.2008 09:52      C:\setup.log --------- 164
  13.03.2008 14:57      C:\mb.err --------- 246
  10.05.2007 10:59      C:\DWGRemoval.iss --------- 505
  08.05.2007 15:22      C:\DWGInstall.iss --------- 630
  07.03.2007 13:32      C:\MSOCache --------- 0
  06.02.2007 10:49      C:\vai --------- 0
  14.09.2006 10:55      C:\oracle --------- 0
  27.04.2006 11:31      C:\Inetpub --------- 0
  27.04.2006 10:32      C:\FilterLog.log --------- 80
  12.01.2006 16:07      C:\dell --------- 0
  12.01.2006 15:53      C:\i386 --------- 0
  12.01.2006 14:50      C:\INFCACHE.1 --------- 4128
  11.01.2006 14:46      C:\boot.ini --------- 211
  29.11.2005 06:04      C:\dell.sdr --------- 3636
  13.08.2004 14:54      C:\MSDOS.SYS --------- 0
  13.08.2004 14:54      C:\IO.SYS --------- 0
  13.08.2004 14:54      C:\CONFIG.SYS --------- 0
  13.08.2004 14:54      C:\AUTOEXEC.BAT --------- 0
  04.08.2004 16:00      C:\NTDETECT.COM --------- 47564
  04.08.2004 16:00      C:\ntldr --------- 251184
  04.08.2004 16:00      C:\bootfont.bin --------- 4952
----------------------------------------

 
C:\WINDOWS

  27.04.2010 13:00    C:\WINDOWS\wiadebug.log --------- 159
  27.04.2010 13:00    C:\WINDOWS\wiaservc.log --------- 50
  27.04.2010 13:00    C:\WINDOWS\bootstat.dat --------- 2048
  27.04.2010 12:59    C:\WINDOWS\SchedLgU.Txt --------- 32480
  22.04.2010 14:37    C:\WINDOWS\system.ini --------- 227
  13.04.2010 07:14    C:\WINDOWS\NetScan.ini --------- 339
  12.03.2010 18:02    C:\WINDOWS\PEV.exe --------- 261632
  25.10.2009 06:11    C:\WINDOWS\MBR.exe --------- 77312
  20.04.2009 12:56    C:\WINDOWS\NIRCMD.exe --------- 31232
  23.02.2009 11:17    C:\WINDOWS\NeroDigital.ini --------- 69
  13.02.2009 12:24    C:\WINDOWS\ODBC.INI --------- 1892
  27.01.2009 09:12    C:\WINDOWS\pdf2word.INI --------- 311
  27.01.2009 08:56    C:\WINDOWS\PDF2HTML.INI --------- 105
  26.11.2008 11:51    C:\WINDOWS\CD_Start.INI --------- 32
  29.04.2008 09:46    C:\WINDOWS\cLines.INI --------- 0
  20.03.2008 09:15    C:\WINDOWS\WCOSOBA.INI --------- 143
  02.08.2007 10:29    C:\WINDOWS\ODBCINST.INI --------- 4346
  02.08.2007 10:28    C:\WINDOWS\Setup1.exe --------- 249856
  02.08.2007 10:28    C:\WINDOWS\ST6UNST.EXE --------- 73216
  06.06.2007 11:40    C:\WINDOWS\dwg2jpg.INI --------- 268
  06.06.2007 08:13    C:\WINDOWS\win.ini --------- 640
  21.05.2007 12:35    C:\WINDOWS\cadkasdeinst01.exe --------- 73216
  11.05.2007 10:40    C:\WINDOWS\eDrawingOfficeAutomator.INI --------- 0
  26.04.2007 14:55    C:\WINDOWS\Iedit_.INI --------- 30
  09.01.2007 12:07    C:\WINDOWS\hpbafd.ini --------- 305
  07.10.2006 18:43    C:\WINDOWS\x2.64.exe --------- 502784
  23.05.2006 14:35    C:\WINDOWS\WMSysPr9.prx --------- 316640
  09.05.2006 09:35    C:\WINDOWS\Clony2.ini --------- 32
  27.04.2006 12:38    C:\WINDOWS\vbaddin.ini --------- 63
  27.04.2006 11:33    C:\WINDOWS\frontpg.ini --------- 0
  20.04.2006 14:22    C:\WINDOWS\multiview.ini --------- 88
  12.04.2006 10:47    C:\WINDOWS\meta4.exe --------- 217073
  05.04.2006 09:09    C:\WINDOWS\MOTA113.exe --------- 66560
  06.02.2006 13:12    C:\WINDOWS\mgxoschk.ini --------- 3237
  29.11.2005 06:20    C:\WINDOWS\smscfg.ini --------- 61
  29.11.2005 06:03    C:\WINDOWS\setpwrcg.exe --------- 49152
  23.08.2004 02:00    C:\WINDOWS\instcli.dex --------- 135168
  13.08.2004 15:30    C:\WINDOWS\setupapi.del --------- 1017421
  13.08.2004 15:05    C:\WINDOWS\orun32.isu --------- 210415
  13.08.2004 15:05    C:\WINDOWS\orun32.ini --------- 849
  13.08.2004 14:59    C:\WINDOWS\setupact.del --------- 220319
  13.08.2004 14:59    C:\WINDOWS\setuplog.del --------- 746067
  13.08.2004 14:54    C:\WINDOWS\control.ini --------- 0
  13.08.2004 14:53    C:\WINDOWS\WindowsShell.Manifest --------- 749
  13.08.2004 14:52    C:\WINDOWS\vb.ini --------- 36
  13.08.2004 14:52    C:\WINDOWS\T30DebugLogFile.txt --------- 0
  13.08.2004 14:49    C:\WINDOWS\Sti_Trace.log --------- 0
  13.08.2004 14:46    C:\WINDOWS\setuperr.del --------- 0
  04.08.2004 16:00    C:\WINDOWS\regedit.exe --------- 153600
  04.08.2004 16:00    C:\WINDOWS\Granit.bmp --------- 26582
  04.08.2004 16:00    C:\WINDOWS\Santa Fe-Stuck.bmp --------- 65832
  04.08.2004 16:00    C:\WINDOWS\Feder.bmp --------- 16730
  04.08.2004 16:00    C:\WINDOWS\Präriewind.bmp --------- 65954
  04.08.2004 16:00    C:\WINDOWS\Seifenblase.bmp --------- 65978
  04.08.2004 16:00    C:\WINDOWS\wmprfDEU.prx --------- 34818
  04.08.2004 16:00    C:\WINDOWS\explorer.scf --------- 80
  04.08.2004 16:00    C:\WINDOWS\hh.exe --------- 10752
  04.08.2004 16:00    C:\WINDOWS\NOTEPAD.EXE --------- 70144
  04.08.2004 16:00    C:\WINDOWS\winhelp.exe --------- 257568
  04.08.2004 16:00    C:\WINDOWS\winnt256.bmp --------- 48680
  04.08.2004 16:00    C:\WINDOWS\winnt.bmp --------- 48680
  04.08.2004 16:00    C:\WINDOWS\explorer.exe --------- 1035264
  04.08.2004 16:00    C:\WINDOWS\msdfmap.ini --------- 1405
  04.08.2004 16:00    C:\WINDOWS\Fächer.bmp --------- 26680
  04.08.2004 16:00    C:\WINDOWS\desktop.ini --------- 2
  04.08.2004 16:00    C:\WINDOWS\Zapotek.bmp --------- 9522
  04.08.2004 16:00    C:\WINDOWS\winhlp32.exe --------- 288768
  04.08.2004 16:00    C:\WINDOWS\clock.avi --------- 82944
  04.08.2004 16:00    C:\WINDOWS\Rhododendron.bmp --------- 17362
  04.08.2004 16:00    C:\WINDOWS\TASKMAN.EXE --------- 15872
  04.08.2004 16:00    C:\WINDOWS\twain.dll --------- 94800
  04.08.2004 16:00    C:\WINDOWS\twain_32.dll --------- 50688
  04.08.2004 16:00    C:\WINDOWS\twunk_16.exe --------- 49680
  04.08.2004 16:00    C:\WINDOWS\twunk_32.exe --------- 25600
  04.08.2004 16:00    C:\WINDOWS\Blaue Spitzen 16.bmp --------- 1272
  04.08.2004 16:00    C:\WINDOWS\vmmreg32.dll --------- 18944
  04.08.2004 16:00    C:\WINDOWS\Kaffeetasse.bmp --------- 17062
  04.08.2004 16:00    C:\WINDOWS\Angler.bmp --------- 17336
  04.08.2004 16:00    C:\WINDOWS\_default.pif --------- 707
  18.02.2004 11:53    C:\WINDOWS\STable.xml --------- 54633
  22.12.2003 17:59    C:\WINDOWS\GeoCodec.dll --------- 405504
  22.12.2003 17:56    C:\WINDOWS\GeoCodecLib.dll --------- 176128
  10.06.2002 17:26    C:\WINDOWS\Dell.bmp --------- 787512
  04.05.2001 12:05    C:\WINDOWS\mpg4c32.dll --------- 413760
  31.08.2000 08:00    C:\WINDOWS\SWXCACLS.exe --------- 212480
  31.08.2000 08:00    C:\WINDOWS\zip.exe --------- 68096
  31.08.2000 08:00    C:\WINDOWS\SWSC.exe --------- 136704
  31.08.2000 08:00    C:\WINDOWS\grep.exe --------- 80412
  31.08.2000 08:00    C:\WINDOWS\sed.exe --------- 98816
  31.08.2000 08:00    C:\WINDOWS\SWREG.exe --------- 161792
  07.04.2000 13:13    C:\WINDOWS\W_ZIPPER.EXE --------- 131072
  23.03.1999 08:12    C:\WINDOWS\unin0407.exe --------- 304128
  17.11.1998 11:44    C:\WINDOWS\IsUn0407.exe --------- 328704
  29.10.1998 16:45    C:\WINDOWS\IsUninst.exe --------- 306688
  01.04.1998 15:11    C:\WINDOWS\uninst.exe --------- 299520
----------------------------------------

 
C:\WINDOWS\System

 04.08.2004 16:00    C:\WINDOWS\System\AVICAP.DLL --------- 70368
 04.08.2004 16:00    C:\WINDOWS\System\AVIFILE.DLL --------- 109504
 04.08.2004 16:00    C:\WINDOWS\System\COMMDLG.DLL --------- 33744
 04.08.2004 16:00    C:\WINDOWS\System\WFWNET.DRV --------- 13600
 04.08.2004 16:00    C:\WINDOWS\System\KEYBOARD.DRV --------- 2000
 04.08.2004 16:00    C:\WINDOWS\System\LZEXPAND.DLL --------- 9936
 04.08.2004 16:00    C:\WINDOWS\System\MCIAVI.DRV --------- 73760
 04.08.2004 16:00    C:\WINDOWS\System\MCISEQ.DRV --------- 25296
 04.08.2004 16:00    C:\WINDOWS\System\MCIWAVE.DRV --------- 28160
 04.08.2004 16:00    C:\WINDOWS\System\MMSYSTEM.DLL --------- 69632
 04.08.2004 16:00    C:\WINDOWS\System\MMTASK.TSK --------- 1152
 04.08.2004 16:00    C:\WINDOWS\System\MOUSE.DRV --------- 2032
 04.08.2004 16:00    C:\WINDOWS\System\MSVIDEO.DLL --------- 127104
 04.08.2004 16:00    C:\WINDOWS\System\OLECLI.DLL --------- 82944
 04.08.2004 16:00    C:\WINDOWS\System\OLESVR.DLL --------- 24064
 04.08.2004 16:00    C:\WINDOWS\System\setup.inf --------- 59167
 04.08.2004 16:00    C:\WINDOWS\System\SHELL.DLL --------- 5120
 04.08.2004 16:00    C:\WINDOWS\System\SOUND.DRV --------- 1744
 04.08.2004 16:00    C:\WINDOWS\System\stdole.tlb --------- 5532
 04.08.2004 16:00    C:\WINDOWS\System\SYSTEM.DRV --------- 3360
 04.08.2004 16:00    C:\WINDOWS\System\TAPI.DLL --------- 19200
 04.08.2004 16:00    C:\WINDOWS\System\TIMER.DRV --------- 4048
 04.08.2004 16:00    C:\WINDOWS\System\VER.DLL --------- 9200
 04.08.2004 16:00    C:\WINDOWS\System\VGA.DRV --------- 2176
 04.08.2004 16:00    C:\WINDOWS\System\WINSPOOL.DRV --------- 146944
 19.09.2001 19:47    C:\WINDOWS\System\crlds3d.dll --------- 765952
----------------------------------------

 
C:\WINDOWS\System32

 27.04.2010 13:04    C:\WINDOWS\system32\inetsrv --------- 0
 27.04.2010 12:53    C:\WINDOWS\system32\Restore --------- 0
 27.04.2010 10:27    C:\WINDOWS\system32\CatRoot2 --------- 0
 23.04.2010 11:04    C:\WINDOWS\system32\drivers --------- 0
 20.04.2010 08:55    C:\WINDOWS\system32\dllcache --------- 0
 20.04.2010 08:53    C:\WINDOWS\system32\de-DE --------- 0
 20.04.2010 08:48    C:\WINDOWS\system32\perfc009.dat --------- 107610
 20.04.2010 08:48    C:\WINDOWS\system32\perfh009.dat --------- 521794
 20.04.2010 08:48    C:\WINDOWS\system32\perfh007.dat --------- 562956
 20.04.2010 08:48    C:\WINDOWS\system32\perfc007.dat --------- 130788
 20.04.2010 08:48    C:\WINDOWS\system32\PerfStringBackup.INI --------- 1342744
 20.04.2010 08:44    C:\WINDOWS\system32\FNTCACHE.DAT --------- 274168
 20.04.2010 08:43    C:\WINDOWS\system32\Setup --------- 0
 20.04.2010 08:43    C:\WINDOWS\system32\wbem --------- 0
 20.04.2010 08:40    C:\WINDOWS\system32\TZLog.log --------- 4230
 20.04.2010 08:23    C:\WINDOWS\system32\KB905474 --------- 0
 20.04.2010 07:58    C:\WINDOWS\system32\wpa.dbl --------- 2206
 20.04.2010 07:58    C:\WINDOWS\system32\PreInstall --------- 0
 20.04.2010 07:36    C:\WINDOWS\system32\SoftwareDistribution --------- 0
 19.04.2010 10:07    C:\WINDOWS\system32\CatRoot --------- 0
 16.04.2010 11:53    C:\WINDOWS\system32\log --------- 0
 06.04.2010 10:52    C:\WINDOWS\system32\MRT.exe --------- 31971272
 10.03.2010 07:18    C:\WINDOWS\system32\shdocvw.dll --------- 1506304
 10.03.2010 07:18    C:\WINDOWS\system32\browseui.dll --------- 1023488
 26.02.2010 08:10    C:\WINDOWS\system32\shlwapi.dll --------- 474624
 26.02.2010 08:10    C:\WINDOWS\system32\danim.dll --------- 1056256
 26.02.2010 08:10    C:\WINDOWS\system32\extmgr.dll --------- 55808
 26.02.2010 08:10    C:\WINDOWS\system32\cdfview.dll --------- 152064
 26.02.2010 02:58    C:\WINDOWS\system32\xpsp3res.dll --------- 375808
 25.02.2010 11:45    C:\WINDOWS\system32\ieframe.dll --------- 11070976
 25.02.2010 08:15    C:\WINDOWS\system32\wininet.dll --------- 916480
 25.02.2010 08:15    C:\WINDOWS\system32\urlmon.dll --------- 1209344
 25.02.2010 08:15    C:\WINDOWS\system32\occache.dll --------- 206848
 25.02.2010 08:15    C:\WINDOWS\system32\mstime.dll --------- 611840
 25.02.2010 08:15    C:\WINDOWS\system32\mshtml.dll --------- 5944832
 25.02.2010 08:15    C:\WINDOWS\system32\msfeedsbs.dll --------- 55296
 25.02.2010 08:15    C:\WINDOWS\system32\msfeeds.dll --------- 594432
 25.02.2010 08:15    C:\WINDOWS\system32\jsproxy.dll --------- 25600
 25.02.2010 08:15    C:\WINDOWS\system32\inetcpl.cpl --------- 1469440
 25.02.2010 08:15    C:\WINDOWS\system32\iertutil.dll --------- 1985536
 25.02.2010 08:14    C:\WINDOWS\system32\iepeers.dll --------- 184320
 25.02.2010 08:14    C:\WINDOWS\system32\iedkcs32.dll --------- 387584
 24.02.2010 11:53    C:\WINDOWS\system32\ie4uinit.exe --------- 173056
 16.02.2010 21:30    C:\WINDOWS\system32\ntoskrnl.exe --------- 2139648
 16.02.2010 21:30    C:\WINDOWS\system32\ntkrnlpa.exe --------- 2019328
 16.02.2010 07:27    C:\WINDOWS\system32\wmp.dll --------- 4734976
 12.02.2010 12:03    C:\WINDOWS\system32\browserchoice.exe --------- 293376
 12.02.2010 06:45    C:\WINDOWS\system32\6to4svc.dll --------- 100864
 29.01.2010 16:43    C:\WINDOWS\system32\l3codecx.ax --------- 143422
 29.01.2010 16:43    C:\WINDOWS\system32\l3codeca.acm --------- 307260
 23.01.2010 10:11    C:\WINDOWS\system32\tzchange.exe --------- 46080
 13.01.2010 16:08    C:\WINDOWS\system32\cabview.dll --------- 86016
 24.12.2009 09:05    C:\WINDOWS\system32\wintrust.dll --------- 177664
 17.12.2009 09:57    C:\WINDOWS\system32\mspaint.exe --------- 346624
 14.12.2009 09:35    C:\WINDOWS\system32\csrsrv.dll --------- 33280
 27.11.2009 19:33    C:\WINDOWS\system32\msyuv.dll --------- 17920
 27.11.2009 19:33    C:\WINDOWS\system32\quartz.dll --------- 1296896
 27.11.2009 18:37    C:\WINDOWS\system32\msrle32.dll --------- 11264
 27.11.2009 18:37    C:\WINDOWS\system32\msvidc32.dll --------- 28672
 27.11.2009 18:37    C:\WINDOWS\system32\avifil32.dll --------- 85504
 27.11.2009 18:37    C:\WINDOWS\system32\iyuv_32.dll --------- 48128
 27.11.2009 18:37    C:\WINDOWS\system32\tsbyuv.dll --------- 8704
 15.10.2009 22:50    C:\WINDOWS\system32\t2embed.dll --------- 119808
 15.10.2009 19:20    C:\WINDOWS\system32\fontsub.dll --------- 82432
 13.10.2009 12:51    C:\WINDOWS\system32\oakley.dll --------- 267776
 12.10.2009 15:51    C:\WINDOWS\system32\rastls.dll --------- 113152
 12.10.2009 15:51    C:\WINDOWS\system32\raschap.dll --------- 69632
 11.09.2009 16:31    C:\WINDOWS\system32\msv1_0.dll --------- 133632
 04.09.2009 22:45    C:\WINDOWS\system32\msasn1.dll --------- 58880
 01.09.2009 16:32    C:\WINDOWS\system32\msaud32.acm --------- 282654
 26.08.2009 10:14    C:\WINDOWS\system32\strmdll.dll --------- 247326
 19.08.2009 17:07    C:\WINDOWS\system32\msxml6.dll --------- 1415000
 14.08.2009 17:18    C:\WINDOWS\system32\win32k.sys --------- 1850240
 06.08.2009 19:24    C:\WINDOWS\system32\wucltui.dll --------- 327896
 06.08.2009 19:24    C:\WINDOWS\system32\wuaueng.dll.mui --------- 18144
 06.08.2009 19:24    C:\WINDOWS\system32\wuapi.dll.mui --------- 15584
 06.08.2009 19:24    C:\WINDOWS\system32\wuaucpl.cpl --------- 217816
 06.08.2009 19:24    C:\WINDOWS\system32\wups.dll --------- 35552
 06.08.2009 19:24    C:\WINDOWS\system32\wups2.dll --------- 44768
 06.08.2009 19:24    C:\WINDOWS\system32\wuauclt.exe --------- 53472
 06.08.2009 19:24    C:\WINDOWS\system32\cdm.dll --------- 96480
 06.08.2009 19:24    C:\WINDOWS\system32\wuaucpl.cpl.mui --------- 15584
 06.08.2009 19:24    C:\WINDOWS\system32\wucltui.dll.mui --------- 23264
 06.08.2009 19:23    C:\WINDOWS\system32\wuapi.dll --------- 575704
 06.08.2009 19:23    C:\WINDOWS\system32\wuaueng.dll --------- 1929952
 06.08.2009 19:23    C:\WINDOWS\system32\wuweb.dll --------- 209624
 05.08.2009 11:05    C:\WINDOWS\system32\mswebdvd.dll --------- 206336
 31.07.2009 06:58    C:\WINDOWS\system32\msxml3.dll --------- 1172480
 21.07.2009 00:05    C:\WINDOWS\system32\msxml4.dll --------- 1348432
 17.07.2009 20:56    C:\WINDOWS\system32\atl.dll --------- 58880
 17.07.2009 18:25    C:\WINDOWS\system32\query.dll --------- 1441792
 13.07.2009 02:18    C:\WINDOWS\system32\wmpdxm.dll --------- 233472
 25.06.2009 20:34    C:\WINDOWS\system32\mqtrig.dll --------- 186880
 25.06.2009 20:34    C:\WINDOWS\system32\mqdscli.dll --------- 47104
 25.06.2009 20:34    C:\WINDOWS\system32\mqise.dll --------- 16896
 25.06.2009 20:34    C:\WINDOWS\system32\mqoa.dll --------- 225280
 25.06.2009 20:34    C:\WINDOWS\system32\mqqm.dll --------- 661504
 25.06.2009 20:34    C:\WINDOWS\system32\mqad.dll --------- 138240
 25.06.2009 20:34    C:\WINDOWS\system32\mqutil.dll --------- 533504
 25.06.2009 20:34    C:\WINDOWS\system32\mqsnap.dll --------- 517120
----------------------------------------

 
C:\WINDOWS\Prefetch

 27.04.2010 13:05    C:\WINDOWS\Prefetch\CMD.EXE-034B0549.pf --------- 15104
 27.04.2010 13:04    C:\WINDOWS\Prefetch\CCLEANER.EXE-17760B94.pf --------- 53064
 27.04.2010 13:04    C:\WINDOWS\Prefetch\7ZG.EXE-3B8AF2E3.pf --------- 17408
 27.04.2010 13:04    C:\WINDOWS\Prefetch\IGFXSRVC.EXE-1D88F978.pf --------- 49872
 27.04.2010 13:03    C:\WINDOWS\Prefetch\WINWORD.EXE-1220CCA8.pf --------- 124468
 27.04.2010 13:02    C:\WINDOWS\Prefetch\PFANNEN_UPDATE_R.EXE-01A81DBA.pf --------- 124310
 27.04.2010 13:02    C:\WINDOWS\Prefetch\OUTLOOK.EXE-3639333C.pf --------- 9394
 27.04.2010 13:01    C:\WINDOWS\Prefetch\ACROBAT_SL.EXE-3AC3EA4D.pf --------- 11606
 27.04.2010 13:01    C:\WINDOWS\Prefetch\CTFMON.EXE-05E57A5E.pf --------- 14148
 27.04.2010 13:01    C:\WINDOWS\Prefetch\TEATIMER.EXE-14B047BF.pf --------- 31774
 27.04.2010 13:01    C:\WINDOWS\Prefetch\SMAX4PNP.EXE-0AFDE2F0.pf --------- 19364
 27.04.2010 13:01    C:\WINDOWS\Prefetch\SCHEDHLP.EXE-2F4AADD8.pf --------- 10960
 27.04.2010 13:01    C:\WINDOWS\Prefetch\OSS_REINSTALL.EXE-1E947E26.pf --------- 13698
 27.04.2010 13:01    C:\WINDOWS\Prefetch\JUSCHED.EXE-3942B063.pf --------- 10062
 27.04.2010 13:01    C:\WINDOWS\Prefetch\IGFXPERS.EXE-19DA7B04.pf --------- 10794
 27.04.2010 13:01    C:\WINDOWS\Prefetch\HKCMD.EXE-0F06AE14.pf --------- 10384
 27.04.2010 13:01    C:\WINDOWS\Prefetch\IMAPI.EXE-201490BB.pf --------- 17056
 27.04.2010 13:01    C:\WINDOWS\Prefetch\IGFXTRAY.EXE-0A23D403.pf --------- 29642
 27.04.2010 13:01    C:\WINDOWS\Prefetch\EXPLORER.EXE-02121B1A.pf --------- 100052
 27.04.2010 13:01    C:\WINDOWS\Prefetch\USERINIT.EXE-0743FDA9.pf --------- 40040
 27.04.2010 13:01    C:\WINDOWS\Prefetch\CNTAOSMGR.EXE-05C16A24.pf --------- 94710
 27.04.2010 13:01    C:\WINDOWS\Prefetch\ALG.EXE-275708CF.pf --------- 52734
 27.04.2010 13:01    C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 1256728
 27.04.2010 12:57    C:\WINDOWS\Prefetch\AWREM32.EXE-354E6502.pf --------- 72178
 27.04.2010 12:56    C:\WINDOWS\Prefetch\WINAW32.EXE-120EACB4.pf --------- 76604
 27.04.2010 12:56    C:\WINDOWS\Prefetch\TASKMGR.EXE-06144C13.pf --------- 24470
 27.04.2010 12:56    C:\WINDOWS\Prefetch\ACRODIST.EXE-15F20FA2.pf --------- 2792
 27.04.2010 12:56    C:\WINDOWS\Prefetch\TRUEIMAGEMONITOR.EXE-1CA84A54.pf --------- 12254
 27.04.2010 12:55    C:\WINDOWS\Prefetch\DAVCDATA.EXE-14FB80FC.pf --------- 11998
 27.04.2010 12:55    C:\WINDOWS\Prefetch\RUNDLL32.EXE-51D80323.pf --------- 29968
 27.04.2010 12:55    C:\WINDOWS\Prefetch\RUNDLL32.EXE-71E6BF7D.pf --------- 42152
 27.04.2010 12:55    C:\WINDOWS\Prefetch\DLLHOST.EXE-474D72E6.pf --------- 83436
 27.04.2010 12:55    C:\WINDOWS\Prefetch\IE4UINIT.EXE-046D13C9.pf --------- 38368
 27.04.2010 12:55    C:\WINDOWS\Prefetch\RUNDLL32.EXE-73FEE585.pf --------- 17130
 27.04.2010 12:55    C:\WINDOWS\Prefetch\MSIEXEC.EXE-330626DC.pf --------- 23962
 27.04.2010 12:55    C:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf --------- 17372
 27.04.2010 12:55    C:\WINDOWS\Prefetch\SHMGRATE.EXE-2DD3E4D8.pf --------- 21856
 27.04.2010 12:55    C:\WINDOWS\Prefetch\SETUP50.EXE-0177D3B8.pf --------- 33046
 27.04.2010 12:55    C:\WINDOWS\Prefetch\RUNDLL32.EXE-54650060.pf --------- 17590
 27.04.2010 12:55    C:\WINDOWS\Prefetch\UNREGMP2.EXE-0CFB0619.pf --------- 14742
 27.04.2010 12:55    C:\WINDOWS\Prefetch\RUNDLL32.EXE-6E074905.pf --------- 16056
 27.04.2010 12:55    C:\WINDOWS\Prefetch\RUNDLL32.EXE-49E968F9.pf --------- 17348
 27.04.2010 12:55    C:\WINDOWS\Prefetch\IEUDINIT.EXE-1E723E51.pf --------- 8182
 27.04.2010 12:55    C:\WINDOWS\Prefetch\IZ5D97.EXE-181A0FFC.pf --------- 14042
 27.04.2010 12:49    C:\WINDOWS\Prefetch\UEDIT32.EXE-0FC247FE.pf --------- 65640
 27.04.2010 12:48    C:\WINDOWS\Prefetch\NOTEPAD.EXE-2F2D61E1.pf --------- 13488
 27.04.2010 11:42    C:\WINDOWS\Prefetch\GMER.EXE-0D35692B.pf --------- 16270
 27.04.2010 11:35    C:\WINDOWS\Prefetch\MSTSC.EXE-2A28D622.pf --------- 116460
 27.04.2010 11:25    C:\WINDOWS\Prefetch\Layout.ini --------- 499542
 27.04.2010 10:28    C:\WINDOWS\Prefetch\FSBL1067.EXE-0D7959A4.pf --------- 14626
 27.04.2010 10:00    C:\WINDOWS\Prefetch\RUNDLL32.EXE-5A336057.pf --------- 14092
 27.04.2010 09:59    C:\WINDOWS\Prefetch\WUAUCLT.EXE-1360D60A.pf --------- 23456
 27.04.2010 09:29    C:\WINDOWS\Prefetch\PCCNTUPD.EXE-315A543B.pf --------- 7912
 27.04.2010 09:29    C:\WINDOWS\Prefetch\XPUPG.EXE-36A723D9.pf --------- 12414
 27.04.2010 09:28    C:\WINDOWS\Prefetch\TSC.EXE-24356832.pf --------- 64284
 27.04.2010 09:20    C:\WINDOWS\Prefetch\IEXPLORE.EXE-360BBB5C.pf --------- 93038
 27.04.2010 07:26    C:\WINDOWS\Prefetch\WMIPRVSE.EXE-0D449B4F.pf --------- 72610
 27.04.2010 07:25    C:\WINDOWS\Prefetch\RUNDLL32.EXE-3DE4948B.pf --------- 29344
 26.04.2010 14:39    C:\WINDOWS\Prefetch\SYMANTEC.EXE-3333ABE3.pf --------- 38504
 26.04.2010 13:03    C:\WINDOWS\Prefetch\REGEDIT.EXE-2AE3423E.pf --------- 24540
 26.04.2010 12:10    C:\WINDOWS\Prefetch\MBAM.EXE-325FAE38.pf --------- 62340
 26.04.2010 12:10    C:\WINDOWS\Prefetch\PCCNT.EXE-0304BDAD.pf --------- 39528
 26.04.2010 11:34    C:\WINDOWS\Prefetch\WMIAPSRV.EXE-02740A4B.pf --------- 18820
 26.04.2010 11:34    C:\WINDOWS\Prefetch\VAI.PROCESSEXPLORERFORM.EXE-0E7EF1F5.pf --------- 75966
 26.04.2010 11:33    C:\WINDOWS\Prefetch\PFANNEN.EXE-14BEAF03.pf --------- 40194
 26.04.2010 11:23    C:\WINDOWS\Prefetch\HELPSVC.EXE-1C192440.pf --------- 114328
 26.04.2010 09:11    C:\WINDOWS\Prefetch\PING.EXE-30F9CA9D.pf --------- 14034
 26.04.2010 08:24    C:\WINDOWS\Prefetch\WGASETUP.EXE-0098D97F.pf --------- 27280
 24.04.2010 14:53    C:\WINDOWS\Prefetch\DFRGNTFS.EXE-38C3807C.pf --------- 41360
 24.04.2010 14:53    C:\WINDOWS\Prefetch\DEFRAG.EXE-2858C7E2.pf --------- 18896
----------------------------------------

 
C:\WINDOWS\Tasks

 27.04.2010 13:00    C:\WINDOWS\Tasks\SA.DAT --------- 6
 04.08.2004 16:00    C:\WINDOWS\Tasks\desktop.ini --------- 65
----------------------------------------

 
C:\WINDOWS\Temp

 11.02.2009 17:17    C:\WINDOWS\Temp\HO94A.EXE --------- 296224
----------------------------------------

 
C:\DOKUME~1\xxx\LOKALE~1\Temp

 27.04.2010 13:02      C:\DOKUME~1\xxx\LOKALE~1\Temp\~DFDF0F.tmp --------- 512
----------------------------------------

 
C:\Programme

 27.04.2010 13:02    C:\Programme\PFANNEN --------- 0
 27.04.2010 11:38    C:\Programme\gmer --------- 0
 27.04.2010 10:28    C:\Programme\Blacklight --------- 0
 22.04.2010 14:29    C:\Programme\Gemeinsame Dateien --------- 0
 20.04.2010 08:55    C:\Programme\Internet Explorer --------- 0
 20.04.2010 08:40    C:\Programme\Movie Maker --------- 0
 20.04.2010 08:36    C:\Programme\MSXML 4.0 --------- 0
 20.04.2010 08:26    C:\Programme\Outlook Express --------- 0
 20.04.2010 08:22    C:\Programme\MSXML 6.0 --------- 0
 20.04.2010 08:21    C:\Programme\Messenger --------- 0
 19.04.2010 11:53    C:\Programme\Malwarebytes' Anti-Malware --------- 0
 16.04.2010 11:53    C:\Programme\Trend Micro --------- 0
 24.02.2010 10:00    C:\Programme\Incuity --------- 0
 22.01.2010 12:13    C:\Programme\Blockguss --------- 0
 27.01.2009 09:05    C:\Programme\VeryPDF PDF2Word v3.0 --------- 0
 23.01.2009 13:20    C:\Programme\Adobe --------- 0
 15.01.2009 16:43    C:\Programme\CUEcards 2000 --------- 0
 04.12.2008 13:29    C:\Programme\LuckieDIPS --------- 0
 01.12.2008 16:38    C:\Programme\AviSynth 2.5 --------- 0
 01.12.2008 16:12    C:\Programme\USSF --------- 0
 01.12.2008 16:09    C:\Programme\Orca --------- 0
 01.12.2008 15:20    C:\Programme\Office Slipstreamer --------- 0
 01.12.2008 14:58    C:\Programme\Windows Sidebar --------- 0
 26.11.2008 11:08    C:\Programme\AutoPlay Menu Builder --------- 0
 24.11.2008 12:51    C:\Programme\Tools&More --------- 0
 24.10.2008 11:13    C:\Programme\InstallShield Installation Information --------- 0
 20.10.2008 08:17    C:\Programme\Uninstall Information --------- 0
 20.10.2008 08:17    C:\Programme\Microsoft SQL Server --------- 0
 16.10.2008 09:52    C:\Programme\Syncrosoft --------- 0
 08.10.2008 09:16    C:\Programme\ThouVis Demoversion --------- 0
 22.11.2007 10:32    C:\Programme\Microsoft.NET --------- 0
 22.11.2007 10:30    C:\Programme\Microsoft Device Emulator --------- 0
 22.11.2007 10:30    C:\Programme\Microsoft SQL Server 2005 Mobile Edition --------- 0
 22.11.2007 10:23    C:\Programme\MSBuild --------- 0
 22.11.2007 10:16    C:\Programme\CE Remote Tools --------- 0
 22.11.2007 10:14    C:\Programme\Microsoft Visual Studio 8 --------- 0
 08.05.2007 14:06    C:\Programme\CLines4NG zu ArCon 2005 --------- 0
 02.05.2007 08:56    C:\Programme\Microsoft Office --------- 0
 26.04.2007 10:25    C:\Programme\Microsoft Office 2007 --------- 0
 28.03.2007 09:59    C:\Programme\Java --------- 0
 13.02.2007 14:30    C:\Programme\VAI --------- 0
 27.12.2006 15:36    C:\Programme\Intel --------- 0
 27.09.2006 16:47    C:\Programme\Quest Software --------- 0
 14.09.2006 10:59    C:\Programme\Microsoft Visual Studio .NET --------- 0
 14.09.2006 10:58    C:\Programme\Oracle --------- 0
 27.04.2006 12:01    C:\Programme\HTML Help Workshop --------- 0
 27.04.2006 11:56    C:\Programme\Microsoft ACT --------- 0
 24.04.2006 10:51    C:\Programme\Nero --------- 0
 18.04.2006 12:44    C:\Programme\Microsoft IntelliType Pro 5.5 --------- 0
 18.04.2006 12:35    C:\Programme\Microsoft IntelliPoint 5.5 --------- 0
 04.04.2006 09:52    C:\Programme\Interwise --------- 0
 12.01.2006 15:53    C:\Programme\Symantec --------- 0
 29.11.2005 06:19    C:\Programme\Broadcom --------- 0
 29.11.2005 06:07    C:\Programme\Analog Devices --------- 0
 13.08.2004 14:55    C:\Programme\microsoft frontpage --------- 0
 13.08.2004 14:55    C:\Programme\xerox --------- 0
 13.08.2004 14:53    C:\Programme\WindowsUpdate --------- 0
 13.08.2004 14:53    C:\Programme\Online-Dienste --------- 0
 13.08.2004 14:53    C:\Programme\NetMeeting --------- 0
 13.08.2004 14:52    C:\Programme\ComPlus Applications --------- 0
 13.08.2004 14:52    C:\Programme\Windows Media Player --------- 0
 13.08.2004 14:51    C:\Programme\MSN Gaming Zone --------- 0
 13.08.2004 14:51    C:\Programme\Windows NT --------- 0
 13.08.2004 14:51    C:\Programme\MSN --------- 0
----------------------------------------

Abbildname                  PID Sitzungsname      Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process          0 Console                  0            28 K
System                        4 Console                  0          236 K
smss.exe                    716 Console                  0          416 K
csrss.exe                  764 Console                  0        3.856 K
winlogon.exe                788 Console                  0        2.640 K
services.exe                832 Console                  0        4.240 K
lsass.exe                  844 Console                  0        7.608 K
svchost.exe                1052 Console                  0        5.220 K
svchost.exe                1120 Console                  0        4.356 K
svchost.exe                1208 Console                  0        18.576 K
svchost.exe                1308 Console                  0        3.548 K
svchost.exe                1368 Console                  0        3.940 K
spoolsv.exe                1552 Console                  0        6.156 K
svchost.exe                1624 Console                  0        5.448 K
schedul2.exe              1688 Console                  0        1.800 K
awhost32.exe              1724 Console                  0        7.356 K
inetinfo.exe              1788 Console                  0        10.448 K
mdm.exe                    1828 Console                  0        2.736 K
sqlservr.exe              1860 Console                  0        1.248 K
NBService.exe              1932 Console                  0        6.596 K
NMSAccessU.exe            2012 Console                  0        1.804 K
NTRtScan.exe              2024 Console                  0        15.896 K
NWC_SERVICE.EXE            2044 Console                  0        2.664 K
svchost.exe                256 Console                  0        2.864 K
svchost.exe                404 Console                  0        4.156 K
TmListen.exe                708 Console                  0        13.120 K
HO94A.EXE                  1460 Console                  0        2.644 K
alg.exe                    2232 Console                  0        3.488 K
CNTAoSMgr.exe              2888 Console                  0        2.532 K
explorer.exe              3136 Console                  0        32.400 K
hkcmd.exe                  3236 Console                  0        2.728 K
igfxpers.exe              3244 Console                  0        2.820 K
smax4pnp.exe              3316 Console                  0        4.516 K
jusched.exe                3332 Console                  0        2.256 K
TrueImageMonitor.exe      3444 Console                  0        3.208 K
schedhlp.exe              3460 Console                  0        2.620 K
acrotray.exe              3592 Console                  0        2.832 K
bgsmsnd.exe                3640 Console                  0        2.764 K
PccNTMon.exe              3648 Console                  0        8.940 K
TeaTimer.exe              3748 Console                  0        43.100 K
ctfmon.exe                3756 Console                  0        3.256 K
acrobat_sl.exe            3888 Console                  0        2.720 K
OUTLOOK.EXE                3944 Console                  0        29.572 K
WINWORD.EXE                3728 Console                  0        23.020 K
Pfannen_Update_r.exe      3928 Console                  0        19.028 K
cmd.exe                    2636 Console                  0        2.284 K
tasklist.exe              3976 Console                  0        4.492 K
wmiprvse.exe              4004 Console                  0        5.684 K

 
***** Ende des Scans 27.04.2010 um 13:05:47,17 ***

Und ich glaube es wurde noch was gefunden!!

Gruß

Snewi 27.04.2010 13:32
Auch OSAM findet jetzt wieder was wenn Virenscanner und alle Netzwerkverbindungen deaktiviert sind!

Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:18:08 on 27.04.2010

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BACSCPL.cpl" - ? - C:\WINDOWS\system32\BACSCPL.cpl
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
"pmxusb.cpl" - ? - C:\WINDOWS\system32\pmxusb.cpl  (File found, but it contains no detailed information)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AC3 Filter" - ? - D:\Programme\TTPack\AC3\ac3filter.cpl
"QuickTime" - "Apple Computer, Inc." - D:\Programme\TTPack\QTLite\QuickTime.cpl
"SYMLIVE" - "Symantec Corporation" - C:\Programme\Symantec\LiveUpdate\S32LUCP1.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ACEDRV07" (ACEDRV07) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\ACEDRV07.sys
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis TrueImage Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis TrueImage FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"AVM Bluetooth Audio Driver" (AVMBTSND) - "AVM GmbH" - C:\WINDOWS\System32\drivers\avmbtsnd.sys
"AVM Bluetooth CAPI-Controller" (CAPI_CIP) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\capi_cip.sys
"AVM Bluetooth Druckeranschluss" (AVMBTPARALLEL) - "AVM GmbH" - C:\WINDOWS\System32\DRIVERS\avmbtpar.sys
"AVM Bluetooth Kommunikationsanschluss" (AVMBTSERIAL) - "AVM GmbH" - C:\WINDOWS\System32\DRIVERS\avmbtser.sys
"AVM Bluetooth Netzwerkadapter" (NETBFPAN) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\netbfpan.sys
"AVM ISDN CoNDIS WAN CAPI Treiber" (AVMCOWAN) - "AVM GmbH" - C:\WINDOWS\System32\DRIVERS\avmcowan.sys
"awecho" (awecho) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\awechomd.sys
"awlegacy" (awlegacy) - "Symantec Corporation" - C:\WINDOWS\System32\Drivers\awlegacy.sys
"AW_HOST" (AW_HOST) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\aw_host5.sys
"BlueFRITZ! USB 2.5(WinXP/2000)" (bfhubase) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\bfhubase.sys
"catchme" (catchme) - ? - C:\DOKUME~1\xxxa.STW\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Gernuwa" (Gernuwa) - "Symantec Corporation" - C:\WINDOWS\system32\drivers\Gernuwa.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Nokia USB Generic" (Nokia USB Generic) - ? - C:\WINDOWS\System32\drivers\nmwcdc.sys  (File not found)
"Nokia USB Modem" (Nokia USB Modem) - ? - C:\WINDOWS\System32\drivers\nmwcdcm.sys  (File not found)
"Nokia USB Phone Parent" (Nokia USB Phone Parent) - ? - C:\WINDOWS\System32\drivers\nmwcd.sys  (File not found)
"Nokia USB Port" (Nokia USB Port) - ? - C:\WINDOWS\System32\drivers\nmwcdcj.sys  (File not found)
"Nsynas32" (Nsynas32) - "Syncrosoft Hard- und Software GmbH" - C:\WINDOWS\system32\drivers\Nsynas32.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"SymEvent" (SymEvent) - "Symantec Corporation" - C:\Programme\Symantec\SYMEVENT.SYS
"SynasUSB" (SynasUSB) - "SIA Syncrosoft" - C:\WINDOWS\System32\drivers\SynasUSB.sys
"tmcomm" (tmcomm) - "Trend Micro Inc." - C:\WINDOWS\system32\drivers\tmcomm.sys
"Trend Micro Filter" (TmFilter) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmXPFlt.sys
"Trend Micro PreFilter" (TmPreFilter) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmPreFlt.sys
"Trend Micro VSAPI NT" (VSApiNt) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\VSApiNt.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\pkmcdo.dll
{9DE24BAC-FC3C-42c4-9FC4-76B3FAFDBD90} "Quest RevNet Protocol" - ? - C:\PROGRA~1\QUESTS~1\SQLNAV~1\RNetPin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - D:\Programme\7-Zip\7-zip.dll
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - D:\Programme\Adobe Acrobat\Acrobat Elements\ContextMenu.dll
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - D:\Programme\Microsoft Office\Visio10\VisShe.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - D:\Programme\Microsoft Office\Visio10\VisShe.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - D:\Nero\Nero 9\Nero CoverDesigner\CoverEdExtension.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
InCDShellExt extension "{CAE3251E-9B15-4810-B268-852AD9792A59}" - ? -  (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
<binary data> "pdfMachine" - "Broadgun Software" - C:\WINDOWS\system32\bgstb.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{4FDF3696-5078-4952-868C-CEEB9683B8C4} "DownloadFile Control" - ? - C:\WINDOWS\DOWNLO~1\Download.ocx / hxxp://192.168.10.31/cab/DownloadFile.cab
{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.5.0" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / https://st-entw1:2607/jre-1_5_0_06-windows-i586-p.exe
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{7D30109B-DD2B-4339-BE80-1CD48723C2BC} "LiveX(v6.0.1.0)" - ? - C:\WINDOWS\DOWNLO~1\LiveX.ocx / hxxp://192.168.10.31/cab/Live.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{182EC0BE-5110-49C8-A062-BEB1D02A220B} "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
"Knowledge Base" - ? - hxxp://support.microsoft.com/  (HTTP value)
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
<binary data> "pdfMachine" - "Broadgun Software" - C:\WINDOWS\system32\bgstb.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "AcroIEToolbarHelper Class" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{56CF4856-ECB4-4e46-A897-A378821F97B9} "pdfMachine" - "Broadgun Software" - C:\WINDOWS\system32\bgstb.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Acronis" - C:\WINDOWS\system32\relog_ap.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Acrobat - Schnellstart.lnk" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\acrobat_sl.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\xxxa.STW\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office Outlook 2003.lnk" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpybotSD TeaTimer" - "Safer Networking Limited" - D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acrobat Assistant 7.0" - "Adobe Systems Inc." - "D:\Programme\Adobe Acrobat\Distillr\Acrotray.exe"
"Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"bgsmsnd.exe" - "Broadgun Software" - C:\WINDOWS\system32\bgsmsnd.exe
"OfficeScanNT Monitor" - "Trend Micro Inc." - "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
"OSSelectorReinstall" - ? - C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe  (File found, but it contains no detailed information)
"Pfannenupdate" - "Georgsmarienhuette GmbH" - c:\Programme\PFANNEN\Pfannen_Update.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"TrueImageMonitor.exe" - "Acronis" - D:\Programme\Acronis\True Image 9.0\TrueImageMonitor.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"pcAnywhere Remote Printing" - "Symantec Corporation" - C:\WINDOWS\system32\awmon.dll
"PDF Port Monitor" - ? - C:\WINDOWS\system32\bgspmnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"Adobe LM Service" (Adobe LM Service) - "Adobe Systems" - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Config Universal" (tgtfckks) - ? - C:\WINDOWS\system32\dlzlnti.dll  (Hidden registry entry, rootkit activity | File found, but it contains no detailed information)
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
"Nero BackItUp Scheduler 4.0" (Nero BackItUp Scheduler 4.0) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
"NMSAccessU" (NMSAccessU) - ? - D:\Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"NWC Service" (NWC_Service) - ? - C:\NWC\NWC_SERVICE.EXE  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"OfficeScan NT Listener" (tmlisten) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
"OfficeScan NT Proxy Service" (TmProxy) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe
"OfficeScanNT RealTime Scan" (ntrtscan) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
"pcAnywhere Host-Modul" (awhost32) - "Symantec Corporation" - D:\Programme\Symantec\PCAnywhere\awhost32.exe
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\hpzipm12.dll
"SolidWorks Licensing Service" (SolidWorks Licensing Service) - "SolidWorks" - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
"SQL Server (SQLEXPRESS)" (MSSQL$SQLEXPRESS) - "Microsoft Corporation" - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
(Disabled) "MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"PCANotify" - "Symantec Corporation" - C:\WINDOWS\system32\PCANotify.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
gruß

cosinus 27.04.2010 13:35
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
files to delete:
C:\WINDOWS\system32\dlzlnti.dll

drivers to delete:
tgtfckks
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Snewi 27.04.2010 13:56
Log:

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\dlzlnti.dll" deleted successfully.
Driver "tgtfckks" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Datei:
hxxp://www.file-upload.net/download-2469778/backup.zip.html

gruß

cosinus 27.04.2010 14:34
Kommt die meldung immer noch? Mach zur Kontrolle bitte ein neues Log mit GMER und poste es.

Snewi 30.04.2010 06:40
Guten Morgen,

hier das aktuelle Log:

Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-30 07:04:41
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pfryqaoc.sys


---- Kernel code sections - GMER 1.0.15 ----

?              olxvh.sys                                                                                                                                Das System kann die angegebene Datei nicht finden. !
init            C:\WINDOWS\system32\drivers\senfilt.sys                                                                                                  entry point in "init" section [0xB98C3F80]
.text          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                                                  section is writeable [0xA8628000, 0x328BA, 0xE8000020]
.pklstb        C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                                                  entry point in ".pklstb" section [0xA866C000]
.relo2          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                                                  unknown last section [0xA8688000, 0x8E, 0x42000040]

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!CreateWindowExW                                                              77D21AD5 5 Bytes  JMP 4126DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!DialogBoxParamW                                                              77D26702 5 Bytes  JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!DialogBoxParamA                                                              77D288E1 5 Bytes  JMP 413646DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!DialogBoxIndirectParamW                                                      77D32598 5 Bytes  JMP 4136473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!MessageBoxIndirectA                                                          77D3AEF1 5 Bytes  JMP 41364671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!MessageBoxExW                                                                77D50559 5 Bytes  JMP 41364542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!MessageBoxExA                                                                77D5057D 5 Bytes  JMP 413645A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!DialogBoxIndirectParamA                                                      77D56CED 5 Bytes  JMP 413647A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!MessageBoxIndirectW                                                          77D660B7 5 Bytes  JMP 41364606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!CallNextHookEx                                                              77D1ED6E 5 Bytes  JMP 4125D101 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!CreateWindowExW                                                              77D21AD5 5 Bytes  JMP 4126DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!DialogBoxParamW                                                              77D26702 5 Bytes  JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!DialogBoxParamA                                                              77D288E1 5 Bytes  JMP 413646DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!DialogBoxIndirectParamW                                                      77D32598 5 Bytes  JMP 4136473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!MessageBoxIndirectA                                                          77D3AEF1 5 Bytes  JMP 41364671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!SetWindowsHookExW                                                            77D3E621 5 Bytes  JMP 41269A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!UnhookWindowsHookEx                                                          77D3F29F 5 Bytes  JMP 411D466E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!MessageBoxExW                                                                77D50559 5 Bytes  JMP 41364542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!MessageBoxExA                                                                77D5057D 5 Bytes  JMP 413645A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!DialogBoxIndirectParamA                                                      77D56CED 5 Bytes  JMP 413647A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!MessageBoxIndirectW                                                          77D660B7 5 Bytes  JMP 41364606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] ole32.dll!OleLoadFromStream                                                            774E8C62 5 Bytes  JMP 41364AA7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[2776] ole32.dll!CoCreateInstance                                                              774F6009 5 Bytes  JMP 4126DB20 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\Programme\Internet Explorer\iexplore.exe[2776] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]                          [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                    TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                  tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                                    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                                    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                                                    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                              tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                  TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- Threads - GMER 1.0.15 ----

Thread          System [4:1036]                                                                                                                          A8825037
Thread          System [4:1040]                                                                                                                          A8825037
Thread          System [4:1044]                                                                                                                          A8825037
Thread          System [4:1048]                                                                                                                          A8825460
Thread          System [4:1052]                                                                                                                          A86B96D4
Thread          System [4:1056]                                                                                                                          A86B96D4
Thread          System [4:1060]                                                                                                                          A86B96D4
Thread          System [4:1064]                                                                                                                          A86B9C32
Thread          System [4:500]                                                                                                                            A7FEA0E2
Thread          System [4:504]                                                                                                                            A7FEA0E2
Thread          System [4:508]                                                                                                                            A7FEA0E2
Thread          System [4:512]                                                                                                                            A7FEA0E2
Thread          System [4:516]                                                                                                                            A7FEA0E2
Thread          System [4:520]                                                                                                                            A7FEA0E2
Thread          System [4:524]                                                                                                                            A7FEA0E2
Thread          System [4:528]                                                                                                                            A7FEA0E2
Thread          System [4:532]                                                                                                                            A7FEA0E2
Thread          System [4:1192]                                                                                                                          A86BC80E
Thread          System [4:1300]                                                                                                                          A86BC794
Thread          System [4:1304]                                                                                                                          A86BC794
Thread          System [4:1308]                                                                                                                          A86BC794
Thread          System [4:1256]                                                                                                                          A86BC794
Thread          System [4:1316]                                                                                                                          A86BC794
Thread          System [4:1320]                                                                                                                          A86BC794
Thread          System [4:1328]                                                                                                                          A86BC794
Thread          System [4:1332]                                                                                                                          A86BC794
Thread          System [4:1336]                                                                                                                          A86BC794

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\68AB67CA3301004F7706000000000020\Usage@PDFMakerForIE  1016796176
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@Class                                                  0x8C 0x87 0x5C 0x85 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@Class                                                  0xEF 0xFC 0xDA 0x4C ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@Class                                                  0x11 0x8E 0xB4 0xC6 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@Class                                                  0x06 0xC0 0xA7 0x84 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@Class                                                  0x0D 0xD8 0xD0 0xDC ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@Class                                                  0xE1 0x62 0x26 0x42 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@Class                                                  0x32 0xD0 0x64 0x76 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@Class                                                  0x67 0xCF 0x1B 0x7A ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@Class                                                  0x85 0xC4 0x93 0x0E ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@Class                                                  0x7F 0xEC 0x7B 0x87 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@Class                                                  0x95 0xA6 0x39 0xC9 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@Class                                                  0x43 0xB9 0x8E 0x70 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@Class                                                  0x71 0xCE 0x04 0x64 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32                                                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@Class                                                  0x10 0xBB 0xE2 0x52 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@ThreadingModel                                          Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@                                                        C:\WINDOWS\system32\OLE32.DLL
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit@FindFlags                                                                  14
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites                                                                 

---- EOF - GMER 1.0.15 ----


Wie soll ich auf den anderen System jetzt grundsätzlich vorgehen?

Gruß


Der Virenscanner hat jetzt gerade die dlzlnti.dll wieder angezeigt mache nochmal ein Scan mit Gmer!!!!

Snewi 30.04.2010 07:56
Hier das aktuelle Log:

Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-30 08:44:45
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pfryqaoc.sys


---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\senfilt.sys                                                          entry point in "init" section [0xB98A0F80]
.text          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                          section is writeable [0xA862D000, 0x328BA, 0xE8000020]
.pklstb        C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                          entry point in ".pklstb" section [0xA8671000]
.relo2          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                          unknown last section [0xA868D000, 0x8E, 0x42000040]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                            TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                          tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                            snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                            snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                            snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                      tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                          TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\ControlSet003\Services\csdsbg@DisplayName                                            bvcmk
Reg            HKLM\SYSTEM\ControlSet003\Services\csdsbg@Type                                                    32
Reg            HKLM\SYSTEM\ControlSet003\Services\csdsbg@Start                                                  2
Reg            HKLM\SYSTEM\ControlSet003\Services\csdsbg@ErrorControl                                            0
Reg            HKLM\SYSTEM\ControlSet003\Services\csdsbg@ImagePath                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet003\Services\csdsbg@ObjectName                                              LocalSystem
Reg            HKLM\SYSTEM\ControlSet003\Services\csdsbg@Description                                            Transportiert E-Mail ?ber das Netzwerk
Reg            HKLM\SYSTEM\ControlSet003\Services\csdsbg\Parameters (not active ControlSet)                     
Reg            HKLM\SYSTEM\ControlSet003\Services\csdsbg\Parameters@ServiceDll                                  C:\WINDOWS\system32\dlzlnti.dll
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@Class          0x8C 0x87 0x5C 0x85 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@Class          0xEF 0xFC 0xDA 0x4C ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@Class          0x11 0x8E 0xB4 0xC6 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@Class          0x06 0xC0 0xA7 0x84 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@Class          0x0D 0xD8 0xD0 0xDC ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@Class          0xE1 0x62 0x26 0x42 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@Class          0x32 0xD0 0x64 0x76 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@Class          0x67 0xCF 0x1B 0x7A ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@Class          0x85 0xC4 0x93 0x0E ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@Class          0x7F 0xEC 0x7B 0x87 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@Class          0x95 0xA6 0x39 0xC9 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@Class          0x43 0xB9 0x8E 0x70 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@Class          0x71 0xCE 0x04 0x64 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32               
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@Class          0x10 0xBB 0xE2 0x52 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@ThreadingModel  Apartment
Reg            HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit@FindFlags                          14
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites                         

---- EOF - GMER 1.0.15 ----
Gruß

Snewi 30.04.2010 11:10
Hier nochmal ein Log von einem anderen Client

Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-30 11:14:01
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ufdyypog.sys


---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\Senfilt.sys                                        entry point in "init" section [0xA9EDCA00]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                          TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                      tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                      tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                    tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\ControlSet002\Services\oznekhc@DisplayName                          Update Windows
Reg            HKLM\SYSTEM\ControlSet002\Services\oznekhc@Type                                32
Reg            HKLM\SYSTEM\ControlSet002\Services\oznekhc@Start                                2
Reg            HKLM\SYSTEM\ControlSet002\Services\oznekhc@ErrorControl                        0
Reg            HKLM\SYSTEM\ControlSet002\Services\oznekhc@ImagePath                            %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet002\Services\oznekhc@ObjectName                          LocalSystem
Reg            HKLM\SYSTEM\ControlSet002\Services\oznekhc@Description                          Erm?glicht Windows-basierten Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu ver?ndern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verf?gung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen.
Reg            HKLM\SYSTEM\ControlSet002\Services\oznekhc\Parameters (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\oznekhc\Parameters@ServiceDll                C:\Programme\Internet Explorer\mepibcf.dll
Reg            HKLM\SYSTEM\ControlSet002\Services\yjanvurt@DisplayName                        Update Universal
Reg            HKLM\SYSTEM\ControlSet002\Services\yjanvurt@Type                                32
Reg            HKLM\SYSTEM\ControlSet002\Services\yjanvurt@Start                              2
Reg            HKLM\SYSTEM\ControlSet002\Services\yjanvurt@ErrorControl                        0
Reg            HKLM\SYSTEM\ControlSet002\Services\yjanvurt@ImagePath                          %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet002\Services\yjanvurt@ObjectName                          LocalSystem
Reg            HKLM\SYSTEM\ControlSet002\Services\yjanvurt@Description                        Stellt die Designverwaltung zur Verf?gung.
Reg            HKLM\SYSTEM\ControlSet002\Services\yjanvurt\Parameters (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\yjanvurt\Parameters@ServiceDll              C:\WINDOWS\system32\mepibcf.dll

---- EOF - GMER 1.0.15 ----
Gibt es nun vielleicht eine vorgenhensweise bei allen Rechnern die ich abarbeiten könnte?

Gruß

cosinus 30.04.2010 13:49
Zitat:
Gibt es nun vielleicht eine vorgenhensweise bei allen Rechnern die ich abarbeiten könnte?
Nö, die gibt es so nicht. Im letzten GMER Abschnitt seh ich da einen (versteckten?) Dienst

Zitat:
eg HKLM\SYSTEM\ControlSet002\Services\oznekhc\Parameters@ServiceDll C:\Programme\Internet Explorer\mepibcf.dll
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt@DisplayName Update Universal
Und das Teil heißt wohl auf jedem Client anders. Außerdem ist nicht gesagt, dass das Prblem behoben ist, wenn man zB diesen Dienst bzw diese Dienste mit dem Avenger löscht.

Avenger musst Du mit so einem Script füttern (Dienstname ist der name des bösen Dienstes zB die obigen rot fett gedruckten)
Und wenn es nicht in CurrentControlSet ist, sollte man auch die anderen löschen per registry keys to delete
Und ggf. noch verknüpfte Dateien löschen, zB C:\Programme\Internet Explorer\mepibcf.dll die dort als Dienst-DLL eingetragen ist

Code:
drivers to delete:
dienstname1
dienstname1.sys
dienstname2
dienstname2.sys

registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\dienstname1
HKLM\SYSTEM\ControlSet002\Services\dienstname2

files to delete:
C:\Programme\Internet Explorer\mepibcf.dll

Ich würde hier aber nicht mehr von einer Bereinigung sprechen, die keinen großen Aufwand erfordert. Ich würde einen Rechner neu aufsetzen mit einer Grundinstallation, ein Image erstellen und das auf alle anderen Rechner verteilen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:09 Uhr.
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19