Trojaner-Board
Seite 1 von 7 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen (https://www.trojaner-board.de/87140-tr-rootkit-gen-tr-crypt-zpack-gen.html)

matthias2619 14.06.2010 14:26
TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen
 
Hallo,
ich habe gestern von AntiVir mehrere Funde gemeldet bekommen!

Code:
c:\Dokumente und Einstellungen\xxxxxxx\wuaucldt.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6bfc5234.qua' verschoben!
Code:
C:\WINDOWS\system32\drivers\cdrom.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]  Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]  Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdrom\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]  Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Cdrom\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2e8b7f4d.qua' verschoben!
Code:
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Temp\yqtfdfqzqph.sys
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VFTB5I8\irs62[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\e4f32aaa6bdf5384c8c43f807b\tmp15.tmp.exe
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\uqnrofov.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Code:
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\ahmboimikvq.sys'
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temp\ahmboimikvq.sys
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e544dda.qua' verschoben!
Code:
Beginne mit der Suche in 'C:\System Volume Information\_restore{0885011B-D18C-4883-AD34-80FE29855AB5}\RP28\A0010166.sys'
C:\System Volume Information\_restore{0885011B-D18C-4883-AD34-80FE29855AB5}\RP28\A0010166.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e90ae50.qua' verschoben!
Dann hat die heuristik noch Folgendes gefunden:
Code:
Beginne mit der Suche in 'C:'
C:\Dokumente und Einstellungen\xxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VFTB5I8\523d090610[1].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VFTB5I8\523d090610[2].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KKK03IM1\523d090610[1].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KKK03IM1\523d090610[4].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UAFWSXOE\523d090610[1].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UAFWSXOE\523d090610[2].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
Bitte um Hilfe!
Lg

markusg 14.06.2010 14:30
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste die beiden, eventuell musst du sie aufteilen.

matthias2619 14.06.2010 14:36
Danke für die schnelle Hilfe.
Aber beim Scan von "dtgivmxn.sys" bleibt OTL hängen.
Genauso wie AntiVir.
Der Scan geht nicht weiter.
Lg

markusg 14.06.2010 14:43
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

matthias2619 14.06.2010 15:20
das klappt auch nicht.
bleibt auch hängen.
Lg

markusg 14.06.2010 15:33
Download den avenger:
Avenger
Füge das script ein, wie auf der seite beschrieben:


Drivers to disable:
dtgivmxn
uqnrofov
Drivers to delete:
dtgivmxn
uqnrofov
Files to delete:
C:\windows\system32\drivers\dtgivmxn.sys
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll
C:\WINDOWS\system32\drivers\uqnrofov.sys
Folders to delete:
C:\e4f32aaa6bdf5384c8c43f807b

Führe das script wie auf der seite beschrieben aus, poste das log.

matthias2619 14.06.2010 15:43
Hab alles wie beschrieben gemacht, aber es kommt die Fehlermeldung:
"Error: Could not query installed services.
Aborting execution! (error 0:der Vorgang wurde erfolgreich beendet.)":confused:
Lg

markusg 14.06.2010 15:45
gab es noch ein logfile oder war das alles?
hast du den avenger entpackt und wenn du vista oder windows 7 nutzt, das programm mit rechtsklick als admin ausgeführt?

matthias2619 14.06.2010 15:49
Ja, ich habe ihn entpackt und dann unter XP ausgeführt.
Script reinkopiert, execute gedrückt, "Ja" gedrückt, und dann auch schon die Fehlermeldung.
Aber ein Log gibt es:
Code:
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:41:29 2010

16:41:29: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:22 2010

16:44:22: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:27 2010

16:44:27: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:45:35 2010

16:45:35: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:48 2010

16:47:48: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:59 2010

16:47:59: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////
Lg

markusg 14.06.2010 16:06
starte mal in den abgesicherten modus, meist ist das beim systemstart die f8 taste drücken, ein paar mal. dann versuche den avenger erneut, poste das log.

matthias2619 14.06.2010 16:27
Fertig :o
hat geklappt:)
und hier ist der log:
Code:
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:41:29 2010

16:41:29: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:22 2010

16:44:22: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:27 2010

16:44:27: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:45:35 2010

16:45:35: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:48 2010

16:47:48: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:59 2010

16:47:59: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "dtgivmxn" disabled successfully.

Error:  could not open driver "uqnrofov"
Disablement of driver "uqnrofov" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "dtgivmxn" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\uqnrofov" not found!
Deletion of driver "uqnrofov" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\windows\system32\drivers\dtgivmxn.sys" deleted successfully.
File "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll" deleted successfully.

Error:  file "C:\WINDOWS\system32\drivers\uqnrofov.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\uqnrofov.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Folder "C:\e4f32aaa6bdf5384c8c43f807b" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
ich weiss nicht ob da auch noch der andere log drin ist...
Lg

markusg 14.06.2010 16:32
ist kein problem. nun versuche noch mal combofix, poste das log.

matthias2619 14.06.2010 16:49
hat geklappt [:
Code:
ComboFix 10-06-13.04 - Matthias 14.06.2010  17:37:16.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.252 [GMT 2:00]
ausgeführt von:: c:\downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\common.data
c:\dokumente und einstellungen\All Users\Dokumente\Settings
c:\dokumente und einstellungen\All Users\Dokumente\Settings\cbss.dll
c:\windows\system32\drivers\str.sys
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\cift.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\common.data
c:\dokumente und einstellungen\Matthias\Anwendungsdaten\cift.exe
c:\dokumente und einstellungen\Matthias\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\programme\RelevantKnowledge
c:\programme\RelevantKnowledge\MSVCP71.DLL
c:\programme\RelevantKnowledge\MSVCR71.DLL
c:\programme\RelevantKnowledge\rlservice.exe

-- Vorheriger Suchlauf --

c:\windows\system32\drivers\cdrom.sys fehlte
Kopie von - c:\windows\ServicePackFiles\i386\cdrom.sys wurde wiederhergestellt

--------

.
(((((((((((((((((((((((  Dateien erstellt von 2010-05-14 bis 2010-06-14  ))))))))))))))))))))))))))))))
.

2010-06-14 15:11 . 2010-06-14 15:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-06-14 15:11 . 2010-06-14 15:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-06-14 15:10 . 2010-06-14 15:10        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\PrivacIE
2010-06-14 14:41 . 2010-06-14 14:41        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Eraser 6
2010-06-14 14:14 . 2008-04-13 22:10        62976        -c--a-w-        c:\windows\system32\dllcache\cdrom.sys
2010-06-14 14:14 . 2008-04-13 22:10        62976        ----a-w-        c:\windows\system32\drivers\cdrom.sys
2010-06-13 15:21 . 2010-06-13 15:21        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\FastStone
2010-06-13 14:09 . 2010-06-13 14:09        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Eraser 6
2010-06-13 13:48 . 2010-06-13 13:48        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-06-13 13:46 . 2010-06-13 13:46        18824        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-13 13:44 . 2010-06-13 13:44        --------        d-----w-        c:\programme\Eraser
2010-06-13 11:44 . 2010-06-13 11:44        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Avira
2010-06-13 11:41 . 2010-03-01 08:05        124784        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-06-13 11:41 . 2010-02-16 12:24        60936        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-06-13 11:41 . 2009-05-11 10:49        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys
2010-06-13 11:41 . 2010-06-13 11:41        --------        d-----w-        c:\programme\Avira
2010-06-13 11:41 . 2010-06-13 11:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-06-13 11:41 . 2009-05-11 10:49        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys
2010-06-12 22:02 . 2010-06-12 22:02        --------        d-sh--w-        c:\windows\system32\config\systemprofile\IETldCache
2010-06-12 14:11 . 2009-12-29 13:08        15360        ----a-w-        c:\windows\system32\drivers\nnrnstdi.sys
2010-06-12 14:11 . 2009-12-29 13:08        10368        ----a-w-        c:\windows\system32\drivers\km_filter.sys
2010-06-12 14:11 . 2008-03-21 11:57        14640        ------w-        c:\windows\system32\spmsgXP_2k3.dll
2010-06-12 14:10 . 2008-12-16 10:44        1112288        ----a-w-        c:\windows\system32\WdfCoInstaller01007.dll
2010-06-12 14:06 . 2010-06-12 14:06        --------        d-----w-        c:\programme\NetRatingsNetSight
2010-06-12 13:51 . 2010-06-12 13:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\RoboForm
2010-06-12 13:51 . 2010-06-12 13:51        --------        d-----w-        c:\programme\Siber Systems
2010-06-12 13:41 . 2010-06-12 13:41        --------        d-----w-        c:\windows\Sun
2010-06-11 17:10 . 2010-06-11 17:59        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\MyPhoneExplorer
2010-06-11 17:10 . 2010-06-11 17:10        --------        d-----w-        c:\programme\MyPhoneExplorer
2010-06-11 15:53 . 2002-02-18 01:58        98304        ----a-w-        c:\windows\system32\unzip32.dll
2010-06-11 15:53 . 2010-06-11 15:57        --------        d-----w-        c:\programme\flatster
2010-06-10 17:44 . 2010-06-10 17:44        --------        d-sh--w-        c:\dokumente und einstellungen\Matthias\PrivacIE
2010-06-10 16:38 . 2010-06-12 15:09        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\vlc
2010-06-10 13:48 . 2010-06-10 13:49        --------        d-----w-        c:\programme\IrfanView
2010-06-10 13:26 . 2010-06-10 13:30        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\PhotoFiltre
2010-06-10 13:25 . 2010-06-10 13:28        --------        d-----w-        c:\programme\PhotoFiltre
2010-06-09 14:25 . 2010-05-06 10:31        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2010-06-08 19:34 . 2010-06-02 11:41        179144        ----a-w-        c:\windows\system32\drivers\PCGenFAM.sys
2010-06-08 19:34 . 2010-06-08 19:35        --------        d-----w-        c:\programme\Soluto
2010-06-08 19:34 . 2010-06-08 19:34        --------        d-----w-        c:\dokumente und einstellungen\All Users\Soluto
2010-06-08 19:34 . 2010-06-08 19:34        892680        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soluto\Installer\SolutoInstaller.exe
2010-06-08 19:34 . 2010-06-09 14:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soluto
2010-06-08 17:21 . 2010-06-08 17:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tracker Software
2010-06-07 14:14 . 2007-11-06 13:39        69632        ----a-w-        c:\windows\Alcmtr.exe
2010-06-07 13:42 . 2010-06-07 13:42        --------        d-----w-        c:\programme\Rockstar Games
2010-06-07 11:57 . 2010-06-07 11:57        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-06-06 19:25 . 2008-04-13 22:17        25856        -c--a-w-        c:\windows\system32\dllcache\usbprint.sys
2010-06-06 19:25 . 2008-04-13 22:17        25856        ----a-w-        c:\windows\system32\drivers\usbprint.sys
2010-06-06 19:25 . 2008-04-13 22:15        15104        -c--a-w-        c:\windows\system32\dllcache\usbscan.sys
2010-06-06 19:25 . 2008-04-13 22:15        15104        ----a-w-        c:\windows\system32\drivers\usbscan.sys
2010-06-06 18:23 . 2010-06-06 18:23        --------        d-----w-        c:\programme\Veoh Networks
2010-06-06 13:17 . 2010-06-06 13:18        --------        d-----w-        C:\mgolf
2010-06-05 22:26 . 2010-06-05 22:39        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\SimpleGlass
2010-06-05 22:26 . 2010-06-05 22:26        --------        d-----w-        c:\programme\SimpleGlass
2010-06-05 22:24 . 2010-06-05 22:24        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Styler
2010-06-05 22:22 . 2010-06-10 14:44        --------        d-----w-        c:\programme\Styler
2010-06-05 21:54 . 2010-06-05 21:54        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Ahead
2010-06-05 21:50 . 2005-09-01 09:03        5888        ------w-        c:\windows\system32\drivers\imagedrv.sys
2010-06-05 21:50 . 2005-09-01 09:03        127488        ------w-        c:\windows\system32\drivers\imagesrv.sys
2010-06-05 21:49 . 2004-07-09 06:43        364544        ------w-        c:\windows\system32\TwnLib4.dll
2010-06-05 21:49 . 2000-06-26 08:45        106496        ----a-w-        c:\windows\system32\TwnLib20.dll
2010-06-05 21:49 . 2004-07-26 14:16        476320        ------w-        c:\windows\system32\ImagXpr7.dll
2010-06-05 21:49 . 2004-07-26 14:16        471040        ------w-        c:\windows\system32\ImagXRA7.dll
2010-06-05 21:49 . 2004-07-26 14:16        262144        ------w-        c:\windows\system32\ImagXR7.dll
2010-06-05 21:49 . 2004-07-26 14:16        1568768        ------w-        c:\windows\system32\ImagX7.dll
2010-06-05 21:49 . 2001-07-09 08:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
2010-06-05 21:49 . 2010-06-05 21:49        --------        d-----w-        c:\programme\Gemeinsame Dateien\Ahead
2010-06-05 21:49 . 2010-06-05 21:49        --------        d-----w-        c:\programme\Ahead
2010-06-05 21:45 . 2010-06-05 21:58        --------        d-----w-        c:\programme\Yahoo!
2010-06-05 21:15 . 2010-06-05 22:01        --------        d-----w-        c:\programme\Pinnacle
2010-06-05 21:14 . 2010-06-05 21:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle
2010-06-05 21:13 . 2010-06-05 21:13        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2010-06-05 12:58 . 2010-06-05 12:58        --------        d-----w-        c:\programme\Gemeinsame Dateien\Windows Live
2010-06-05 12:42 . 2010-06-11 13:49        --------        d-----w-        c:\programme\JDownloader
2010-06-05 12:36 . 2010-06-11 21:50        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\dvdcss
2010-06-04 22:22 . 2008-04-14 05:52        28160        -c--a-w-        c:\windows\system32\dllcache\irmon.dll
2010-06-04 22:22 . 2008-04-14 05:52        28160        ----a-w-        c:\windows\system32\irmon.dll
2010-06-04 22:22 . 2008-04-14 05:52        153088        -c--a-w-        c:\windows\system32\dllcache\irftp.exe
2010-06-04 22:22 . 2008-04-14 05:52        153088        ----a-w-        c:\windows\system32\irftp.exe
2010-06-04 22:22 . 2008-04-14 05:52        8192        -c--a-w-        c:\windows\system32\dllcache\wshirda.dll
2010-06-04 22:22 . 2008-04-14 05:52        8192        ----a-w-        c:\windows\system32\wshirda.dll
2010-06-04 22:05 . 2010-06-04 22:05        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\KC Softwares
2010-06-04 21:58 . 2010-06-04 21:58        --------        d-----w-        c:\programme\ConvertHelper
2010-06-04 21:57 . 2010-06-04 21:58        --------        d-----w-        c:\dokumente und einstellungen\Matthias\dwhelper
2010-06-04 16:52 . 2010-06-04 16:52        --------        d-----w-        c:\programme\KC Softwares
2010-06-04 16:40 . 2010-06-04 22:38        --------        d-----w-        c:\programme\XMedia Recode
2010-06-04 16:40 . 2010-06-04 16:40        --------        d-----w-        c:\programme\IObit
2010-06-04 15:50 . 2010-06-13 14:15        --------        d-----w-        c:\windows\system32\NtmsData
2010-06-04 15:04 . 2010-05-07 14:40        30536        ----a-w-        c:\windows\system32\TURegOpt.exe
2010-06-04 15:04 . 2010-05-07 14:34        30024        ----a-w-        c:\windows\system32\uxtuneup.dll
2010-06-04 15:04 . 2010-06-04 15:04        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\TuneUp Software
2010-06-04 15:04 . 2010-06-04 15:04        --------        d-----w-        c:\programme\TuneUp Utilities 2010
2010-06-04 15:03 . 2010-06-04 15:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-06-04 15:03 . 2010-06-04 15:03        --------        d-sh--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-06-03 22:28 . 2010-06-10 19:30        18792        ---ha-w-        c:\windows\system32\mlfcache.dat
2010-06-03 22:14 . 2010-06-03 22:14        --------        d-----w-        c:\programme\XviD
2010-06-03 22:11 . 2010-06-03 22:11        --------        d-----w-        c:\programme\Tracker Software
2010-06-03 22:09 . 2010-06-03 22:09        --------        d-----w-        c:\programme\CCleaner
2010-06-03 22:06 . 2010-06-13 14:26        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-06-03 22:06 . 2010-06-04 16:16        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-06-03 22:04 . 2010-06-10 16:37        --------        d-----w-        c:\programme\VideoLAN
2010-06-03 20:56 . 2010-06-03 20:56        --------        d-----w-        C:\CFLog
2010-06-03 19:36 . 2003-06-18 15:31        18944        ----a-w-        c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-06-03 19:36 . 2003-06-18 15:31        17920        ----a-w-        c:\windows\system32\mdimon.dll
2010-06-03 19:35 . 2010-06-03 19:35        --------        d-----w-        c:\windows\SHELLNEW
2010-06-03 19:33 . 2010-06-04 14:50        --------        d-----w-        c:\programme\Microsoft.NET
2010-06-03 19:30 . 2010-06-03 19:30        --------        d-----r-        C:\MSOCache
2010-06-03 19:12 . 2010-06-03 19:12        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-06-03 14:49 . 2007-11-06 14:13        77824        ----a-w-        c:\windows\system32\tosmreg.exe
2010-06-03 14:49 . 2007-11-06 14:13        491520        ----a-w-        c:\windows\system32\cselect.exe
2010-06-03 14:49 . 2007-11-06 14:13        45056        ----a-w-        c:\windows\system32\csellang.dll
2010-06-03 14:49 . 2010-06-03 14:49        --------        d-----w-        c:\programme\ltmoh
2010-06-03 14:49 . 2010-06-03 14:49        --------        d-----w-        c:\windows\Options
2010-06-03 14:48 . 2007-11-06 14:13        9216        ----a-w-        c:\windows\system32\agrsmsvc.exe
2010-06-03 14:48 . 2007-11-06 14:13        50752        ------w-        c:\windows\agrsmdel.exe
2010-06-03 14:48 . 2007-11-06 14:13        1161888        ----a-w-        c:\windows\system32\drivers\AGRSM.sys
2010-06-03 14:48 . 2007-11-06 14:13        13312        ----a-w-        c:\windows\system32\agrscoin.dll
2010-06-03 14:32 . 2010-06-03 14:32        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache
2010-06-03 14:28 . 2010-06-03 14:28        --------        d-----w-        c:\windows\system32\XPSViewer
2010-06-03 14:28 . 2010-06-03 14:28        --------        d-----w-        c:\programme\MSBuild
2010-06-03 14:28 . 2008-07-06 12:06        89088        ----a-w-        c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-06-03 14:28 . 2008-07-06 12:06        89088        -c----w-        c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-06-03 14:28 . 2008-07-06 12:06        117760        ------w-        c:\windows\system32\prntvpt.dll
2010-06-03 14:28 . 2008-07-06 10:50        597504        -c----w-        c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-06-03 14:28 . 2008-07-06 10:50        597504        ------w-        c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-13 17:34 . 2010-06-02 20:03        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Orbit
2010-06-12 14:11 . 2010-06-12 14:11        0        ---ha-w-        c:\windows\system32\drivers\Msft_Kernel_nielprt_01007.Wdf
2010-06-12 14:11 . 2010-06-12 14:11        0        ---ha-w-        c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-06-11 18:03 . 2003-04-02 11:00        516834        ----a-w-        c:\windows\system32\perfh007.dat
2010-06-11 18:03 . 2003-04-02 11:00        100880        ----a-w-        c:\windows\system32\perfc007.dat
2010-06-08 19:35 . 2010-06-02 18:58        18824        ----a-w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-06 19:26 . 2010-06-06 19:26        --------        d--h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2010-06-04 15:34 . 2010-06-02 19:23        --------        d-----w-        c:\programme\Opera
2010-06-03 22:10 . 2010-06-03 22:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-06-03 22:10 . 2010-06-03 22:10        503808        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3ef1923a-n\msvcp71.dll
2010-06-03 22:10 . 2010-06-03 22:10        499712        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3ef1923a-n\jmc.dll
2010-06-03 22:10 . 2010-06-03 22:10        348160        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3ef1923a-n\msvcr71.dll
2010-06-03 22:10 . 2010-06-03 22:10        61440        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-706bac85-n\decora-sse.dll
2010-06-03 22:10 . 2010-06-03 22:10        12800        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-706bac85-n\decora-d3d.dll
2010-06-03 22:10 . 2010-06-03 22:10        411368        ----a-w-        c:\windows\system32\deployJava1.dll
2010-06-03 22:10 . 2010-06-03 22:10        --------        d-----w-        c:\programme\Java
2010-06-03 22:10 . 2010-06-03 22:10        --------        d-----w-        c:\programme\FastStone Capture
2010-06-02 20:46 . 2010-06-02 20:46        --------        d-----w-        c:\programme\Paint.NET
2010-06-02 20:45 . 2010-06-02 20:45        --------        d-----w-        c:\programme\Reference Assemblies
2010-06-02 20:33 . 2010-06-02 20:33        --------        d-----w-        c:\programme\Z8Games
2010-06-02 20:03 . 2010-06-02 20:03        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\GrabPro
2010-06-02 20:03 . 2010-06-02 20:03        --------        d-----w-        c:\programme\Orbitdownloader
2010-06-02 20:02 . 2010-06-02 20:02        --------        d-----w-        c:\programme\Realtek
2010-06-02 20:02 . 2010-06-02 19:10        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-06-02 19:32 . 2010-06-02 19:32        315392        ----a-w-        c:\windows\HideWin.exe
2010-06-02 19:32 . 2010-06-02 19:32        --------        d-----w-        c:\programme\Gemeinsame Dateien\InstallShield
2010-06-02 19:10 . 2010-06-02 19:10        --------        d-----w-        c:\programme\Realtek WLAN Driver
2010-06-02 18:53 . 2010-06-02 18:33        86327        ----a-w-        c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2010-06-02 18:34 . 2010-06-02 18:34        --------        d-----w-        c:\programme\microsoft frontpage
2010-06-02 18:33 . 2010-06-02 18:33        --------        d-----w-        c:\programme\Online-Dienste
2010-06-02 18:32 . 2010-06-02 18:32        --------        d-----w-        c:\programme\Gemeinsame Dateien\Dienste
2010-06-02 18:31 . 2010-06-02 18:31        21740        ----a-w-        c:\windows\system32\emptyregdb.dat
2010-05-06 10:31 . 2003-04-02 11:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2003-04-02 11:00        1851392        ----a-w-        c:\windows\system32\win32k.sys
2010-04-25 14:53 . 2010-04-25 14:53        323624        ----a-w-        c:\windows\system32\wiaaut.dll
2010-04-24 16:33 . 2010-04-24 16:33        73000        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-20 05:29 . 2003-04-02 11:00        285696        ----a-w-        c:\windows\system32\atmfd.dll
2010-04-08 11:20 . 2010-04-08 11:20        91424        ----a-w-        c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20        107808        ----a-w-        c:\windows\system32\dns-sd.exe
2010-03-18 14:47 . 2010-03-18 14:47        17760        ----a-w-        c:\windows\system32\aspnet_counters.dll
2010-03-18 11:16 . 2010-03-18 11:16        771424        ----a-w-        c:\windows\system32\msvcr100_clr0400.dll
2010-03-18 11:16 . 2010-03-18 11:16        70472        ----a-w-        c:\windows\system32\dxva2.dll
2010-03-18 11:16 . 2010-03-18 11:16        486216        ----a-w-        c:\windows\system32\evr.dll
2010-03-18 08:09 . 2010-03-18 08:09        99176        ----a-w-        c:\windows\system32\PresentationHostProxy.dll
2010-03-18 08:09 . 2010-03-18 08:09        49488        ----a-w-        c:\windows\system32\netfxperf.dll
2010-03-18 08:09 . 2010-03-18 08:09        297808        ----a-w-        c:\windows\system32\mscoree.dll
2010-03-18 08:09 . 2010-03-18 08:09        295264        ----a-w-        c:\windows\system32\PresentationHost.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SimpleGlass"="c:\programme\SimpleGlass\SGlass.exe" [2007-08-29 997888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2007-11-06 1826816]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Eraser"="c:\progra~1\Eraser\Eraser.exe" [2010-04-10 979344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"VeohPlugin"="c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"Persistence"=c:\windows\system32\igfxpers.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 PCGenFAM;PCGenFAM;c:\windows\system32\drivers\PCGenFAM.sys [08.06.2010 21:34 179144]
R1 nnrnstdi;nnrnstdi;c:\windows\system32\drivers\nnrnstdi.sys [12.06.2010 16:11 15360]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2010 13:41 135336]
R2 SolutoService;Soluto PCGenome Core Service;c:\programme\Soluto\SolutoService.exe [02.06.2010 13:51 338464]
R3 km_filter;km_filter;c:\windows\system32\drivers\km_filter.sys [12.06.2010 16:11 10368]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54 MBit/s USB 2.0 Netzwerkadapter;c:\windows\system32\drivers\RTL8187B.sys [02.06.2010 21:10 341376]
S0 nielprt;Nielsen Patch Service;c:\windows\system32\DRIVERS\nielprt.sys --> c:\windows\system32\DRIVERS\nielprt.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 cykpzlnr;\??\c:\d;\??\c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys --> c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys [?]
S2 pgrenvt;\??\c:\;\??\c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys --> c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys [?]
S3 NielGfx;Nielsen USB GFX;c:\windows\system32\drivers\nielgfx.sys --> c:\windows\system32\drivers\nielgfx.sys [?]
S3 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [07.05.2010 16:38 1051976]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 11:18 10064]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S3 XDva349;XDva349;\??\c:\windows\system32\XDva349.sys --> c:\windows\system32\XDva349.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-06-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: RF - Formular ausfüllen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: RF - Formular speichern - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: RF - Menü anpassen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: RF - RoboForm-Leiste ein/aus - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
FF - ProfilePath - c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\90ll2qq4.default\
FF - component: c:\programme\NetRatingsNetSight\NetSight\meter1\FFAddon\components\nsgkff36_meter1.dll
FF - component: c:\programme\Siber Systems\AI RoboForm\Firefox\components\rfproxy_31.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\programme\Opera\program\plugins\nporbit.dll
FF - plugin: c:\programme\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-dtgivmxn
SafeBoot-uqnrofov



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-14 17:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2672)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-14  17:48:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-14 15:47

Vor Suchlauf: 11 Verzeichnis(se), 53.557.751.808 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 53.519.695.872 Bytes frei

- - End Of File - - 2A729B1F9B279028E0AE13772DD588F7
Lg

markusg 14.06.2010 17:00
neues avenger script:


Files to delete:
c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys
c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys

es sollte im normalen modus klappen, wenn nciht im abgesicherten durchführen.
poste das log.

matthias2619 14.06.2010 17:07
hat im normalen modus geklappt!
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "drivers to delete"
Disablement of driver "drivers to delete" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys" not found!
Deletion of file "c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys" not found!
Deletion of file "c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
File not found?
Lg


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:44 Uhr.
Seite 1 von 7 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131