Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ad-aware definition file update failure - PC schaltet sich selbsttätig ab (https://www.trojaner-board.de/91251-ad-aware-definition-file-update-failure-pc-schaltet-selbsttaetig-ab.html)

Alf0108 28.09.2010 18:17
Ad-aware definition file update failure - PC schaltet sich selbsttätig ab
 
Hallo,

habe im letzten Monat auf einmal Probleme mit Trojanern, die zwar vom AVG
Residenten Schutz erkannt und gelöscht werden, es tauchen aber immer wieder
neue auf, was bisher nicht der Fall war (siege AVG_Log.txt).

Folgende Trojaner befinden sich in der AVG Virenquarantäne:

"Infektion";"Trojaner: Adload_r.AKO";"C:\Dokumente und Einstellungen\U\Lokale Einstellungen\Temp\a.exe";"";"08.09.2010, 20:19:50"
"Infektion";"Trojaner: Adload_r.AKO";"C:\Dokumente und Einstellungen\U\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ABCV234J\93031[1].exe";"";"08.09.2010, 20:20:00"
"Infektion";"Trojaner: Generic19.BVB";"C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temp\31m9gMYW";"";"08.09.2010, 20:36:40"
"Infektion";"Trojaner: Generic19.BVB";"C:\WINDOWS\system32\spool\prtprocs\w32x86\o79317.dll";"";"08.09.2010, 20:36:52"
"Infektion";"Trojaner: Adload_r.AKO";"C:\WINDOWS\system32\spool\prtprocs\w32x86\x1wS3eI.dll";"";"08.09.2010, 20:36:52"
"Infektion";"Trojaner: Crypt.ZOJ";"C:\WINDOWS\Temp\931mY3c7s.sys";"";"08.09.2010, 20:36:53"
"Infektion";"Trojaner: Adload_r.AKO";"c:\System Volume Information\_restore{2B04033D-8EA8-48A4-990B-3C7829A72CA0}\RP597\A0065852.dll";"";"09.09.2010, 08:25:52"
"Infektion";"Trojaner: Generic19.BVB";"c:\System Volume Information\_restore{2B04033D-8EA8-48A4-990B-3C7829A72CA0}\RP597\A0065851.dll";"";"09.09.2010, 08:25:52"
"Warnung";"Tracking cookie.Ivwbox gefunden";"C:\RECYCLER\S-1-5-21-1220945662-1547161642-839522115-1003\Dc5.txt";"";"10.09.2010, 20:20:26"
"Warnung";"Tracking cookie.Atdmt gefunden";"C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt";"";"14.09.2010, 21:52:28"
"Warnung";"Tracking cookie.Ivwbox gefunden";"C:\Dokumente und Einstellungen\*\Cookies\*@ivwbox[1].txt";"";"16.09.2010, 21:16:25"
"Warnung";"Tracking cookie.Atdmt gefunden";"C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt";"";"18.09.2010, 21:03:17"


Habe mir daraufhin Ad-Aware installiert und parallel mit AVG laufen lassen -
letzte Woche konnte ich auf einmal jedoch keinen Ad-Aware update mehr durchführen
"Connection error, check your settings (Error Code -1)" - habe deinstalliert und installiert
aber keine Änderung.
Habe dann versucht bei den Lavasoft FAQs nach der Fehlerquelle zu suchen - bin dann beim
Auswählen von "FAQ" aber auf folgende Seite weitergeleitet worden, die mich zum löschen
von Trojanern aufgefordert hat - dabei habe ich mir wahrscheinlich weitere Plagegeister eingefangen:
hxxp://76.183.238.178:11066/index.html?u=141&t=1

Seitdem hat sich der PC nachts selbsttätig ausgeschaltet und der automatische screenlock
funktioniert nicht mehr.

Habe mich im Trojaner Board umgesehen, mir die Programme über einen anderen PC geladen,
auf den betroffenen PC kopiert und die erforderlichen Log files in der im Forum
beschriebenen Reihenfolge generiert.

Nach der Installation von Malwarebytes konnte ich zunächst auch keinen database
update durchführen [MBAM_ERROR_UPDATING (12007,0, WinHttpSendRequest)] und
habe mir den definition file über einen anderen PC kopiert und einen quick scan von
Malwarebytes durchgeführt Danach funkionierte auch der manuelle update einwandfrei
und ich habe einen full scan durchgeführt.

Hinweis: der Malwarebytes log file vom 27/09/10 enthält die Infos vom erstmaligem
"quick Scan" und beschreibt eine Infizierung und Löschung von Registryeinträgen
Der "full scan" nach den manual update vom 28/09/10 sagt "No malicious items detected")

Zum Logoutput von GMER SSDT "Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF764787E]"
habe ich gegoogelt aber keine weiterführenden Hinweise bekommen - könnt ihr mir
sagen, was es bedeutet und was ich als nächstes machen muss ?

Habe die programme im abgesicherten Modus ausgeführt.


Was mus ich tun damit der Rechner wieder frei von Infekten wird (und bleibt) ?


Vielen Dank für eure Hilfe


Alf0108

cosinus 28.09.2010 19:44
Hallo und :hallo:

Zitat:
[2010.09.27 21:38:25 | 000,000,000 | ---D | C] -- C:\Qoobox
Mal wieder wurde Combofix ausgeführt, ohne dass Du speziell angewiesen wurdest. Der Hinweis steht eigentlich hier überall dick und fett. Naja. Dann postet man es wenigstens gleich mit.

Alf0108 29.09.2010 09:44
sorry, dies ist der logoutput von combofix:

Combofix Logfile:
Code:
ComboFix 10-09-27.01 - U 27.09.2010  21:46:12.1.2 - x86 MINIMAL
ausgeführt von:: e:\***\downloads\trojaner-board\Cofi.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\_000116_.tmp.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-27 bis 2010-09-27  ))))))))))))))))))))))))))))))
.

2010-09-27 19:03 . 2010-09-27 19:03        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-27 15:15 . 2010-09-27 15:15        --------        d-----w-        c:\dokumente und einstellungen\U\Anwendungsdaten\Malwarebytes
2010-09-27 15:14 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-27 15:14 . 2010-09-27 15:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-27 15:14 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-09-27 14:57 . 2010-09-27 14:57        --------        d-----w-        c:\programme\Lavasoft
2010-09-27 14:56 . 2010-09-27 14:56        --------        dc----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E}
2010-09-27 14:29 . 2010-09-27 14:29        --------        dc-h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{437292BE-95BD-4B12-B699-6D217A03ACAF}
2010-09-24 18:13 . 2010-08-12 12:15        64288        ----a-w-        c:\windows\system32\drivers\Lbd.sys
2010-09-23 17:29 . 2010-09-23 17:29        620896        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgnsx.exe
2010-09-23 17:29 . 2010-09-23 17:29        4093792        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgui.exe
2010-09-23 17:29 . 2010-09-23 17:29        3586912        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\setup.exe
2010-09-23 17:29 . 2010-09-23 17:29        1619296        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgssie.dll
2010-09-23 17:29 . 2010-09-23 17:29        1377632        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgssff.dll
2010-09-23 17:29 . 2010-09-23 17:29        942432        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgcfgx.dll
2010-09-23 17:29 . 2010-09-23 17:29        598368        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgsrmx.dll
2010-09-23 17:29 . 2010-09-23 17:29        4371296        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgcorex.dll
2010-09-23 17:29 . 2010-09-23 17:29        300896        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgchclx.dll
2010-09-23 17:27 . 2010-09-23 17:27        1690952        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgupd.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-27 18:02 . 2001-08-18 12:00        48354        ----a-w-        c:\windows\system32\perfc007.dat
2010-09-27 18:02 . 2001-08-18 12:00        316924        ----a-w-        c:\windows\system32\perfh007.dat
2010-09-24 18:12 . 2010-07-29 19:03        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-09-21 18:45 . 2008-06-14 05:20        --------        d-----w-        c:\programme\LevelOne
2010-08-27 16:56 . 2009-09-06 11:27        --------        d-----w-        c:\dokumente und einstellungen\Birgit\Anwendungsdaten\Image Zone Express
2010-08-08 10:44 . 2010-08-08 10:44        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\elsterformular
2010-08-08 10:42 . 2010-08-08 10:41        --------        d-----w-        c:\programme\ElsterFormular
2010-08-08 10:42 . 2010-08-08 10:42        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular
2010-07-30 15:58 . 2010-07-30 15:58        95024        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys
2010-07-16 18:11 . 2009-06-20 17:15        243024        ----a-w-        c:\windows\system32\drivers\avgtdix.sys
2010-07-16 18:11 . 2010-07-16 18:11        12536        ----a-w-        c:\windows\system32\avgrsstx.dll
2010-07-16 18:11 . 2009-06-20 17:14        216400        ----a-w-        c:\windows\system32\drivers\avgldx86.sys
2010-06-30 17:13 . 2010-06-30 17:13        503808        ----a-w-        c:\dokumente und einstellungen\U\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-3a0f2a05-n\msvcp71.dll
2010-06-30 17:13 . 2010-06-30 17:13        499712        ----a-w-        c:\dokumente und einstellungen\U\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-3a0f2a05-n\jmc.dll
2010-06-30 17:13 . 2010-06-30 17:13        348160        ----a-w-        c:\dokumente und einstellungen\U\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-3a0f2a05-n\msvcr71.dll
.

------- Sigcheck -------

[-] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\atapi.sys
[-] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\drivers\atapi.sys
[-] 2001-08-18 . A64013E98426E1877CB653685C5C0009 . 86656 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\atapi.sys

[-] 2004-08-03 . 02000ABF34AF4C218C35D257024807D6 . 14336 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\asyncmac.sys
[-] 2004-08-03 . 02000ABF34AF4C218C35D257024807D6 . 14336 . . [5.1.2600.2180] . . c:\windows\system32\drivers\asyncmac.sys
[-] 2001-08-18 . 03F403B07A884FC2AA54A0916C410931 . 13568 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\asyncmac.sys

[-] 2001-08-18 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\dllcache\beep.sys
[-] 2001-08-18 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\drivers\beep.sys

[-] 2004-08-03 . B128FC0A5CD83F669D5DE4B58F77C7D6 . 25216 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\kbdclass.sys
[-] 2004-08-03 . B128FC0A5CD83F669D5DE4B58F77C7D6 . 25216 . . [5.1.2600.2180] . . c:\windows\system32\drivers\kbdclass.sys
[-] 2001-08-18 . C49C079C1396E1641FBF5C720335241D . 23936 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\kbdclass.sys

[-] 2004-08-03 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ndis.sys
[-] 2004-08-03 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\system32\drivers\ndis.sys
[-] 2001-08-18 . 3EFD4F59BA0A340DE0A3AB984001DBF7 . 161536 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ndis.sys

[-] 2004-08-03 . B78BE402C3F63DD55521F73876951CDD . 574592 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ntfs.sys
[-] 2004-08-03 . B78BE402C3F63DD55521F73876951CDD . 574592 . . [5.1.2600.2180] . . c:\windows\system32\drivers\ntfs.sys
[-] 2001-08-18 . 70FAE0DCFDFAA0838D6778FCA028CE01 . 533504 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ntfs.sys

[-] 2001-08-18 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\dllcache\null.sys
[-] 2001-08-18 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\drivers\null.sys

[-] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys
[-] 2001-08-18 . E7774698BB0D14B0710A9A31E209F9B6 . 327168 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\tcpip.sys

[-] 2004-08-03 . D8653DCD80CF2EBB333FC4FCC43A7DEF . 77312 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\browser.dll
[-] 2004-08-03 . D8653DCD80CF2EBB333FC4FCC43A7DEF . 77312 . . [5.1.2600.2180] . . c:\windows\system32\browser.dll
[-] 2001-08-18 . BE0EC60D9A5E8470FF6FF6D5B54AE229 . 49152 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\browser.dll

[-] 2004-08-03 . 183805EB05BCA5A1E4AAAED4D2BE3690 . 13312 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\lsass.exe
[-] 2004-08-03 . 183805EB05BCA5A1E4AAAED4D2BE3690 . 13312 . . [5.1.2600.2180] . . c:\windows\system32\lsass.exe
[-] 2001-08-18 . 06DF1B4D51BEA83CF16FD45AB8C8CCE8 . 11776 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\lsass.exe

[-] 2004-08-03 . CDF4DA6B518105343FE9E8AFBBF8FBF4 . 198144 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\netman.dll
[-] 2004-08-03 . CDF4DA6B518105343FE9E8AFBBF8FBF4 . 198144 . . [5.1.2600.2180] . . c:\windows\system32\netman.dll
[-] 2001-08-18 . 01933DA5BA24C0FC79110E892D4A35F0 . 147968 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\netman.dll

[-] 2004-08-03 . 3A5E54A9AB96EF2D273B58136FB58EFE . 382464 . . [6.6.2600.2180] . . c:\windows\ServicePackFiles\i386\qmgr.dll
[-] 2004-08-03 . 3A5E54A9AB96EF2D273B58136FB58EFE . 382464 . . [6.6.2600.2180] . . c:\windows\system32\qmgr.dll
[-] 2001-08-18 . 27E84951136C596E3F84E2C47DA522DA . 180736 . . [6.0.2600.0] . . c:\windows\$NtServicePackUninstall$\qmgr.dll

[-] 2004-08-03 . 9F28FF58D6D67B123272869D89D14004 . 395776 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\rpcss.dll
[-] 2004-08-03 . 9F28FF58D6D67B123272869D89D14004 . 395776 . . [5.1.2600.2180] . . c:\windows\system32\rpcss.dll
[-] 2001-08-18 . CC504878DDE9174648B2C6CC7D129223 . 259072 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\rpcss.dll

[-] 2004-08-03 . EDB6B81761BD60F32F740BBC40AFB676 . 108544 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\services.exe
[-] 2004-08-03 . EDB6B81761BD60F32F740BBC40AFB676 . 108544 . . [5.1.2600.2180] . . c:\windows\system32\services.exe
[-] 2001-08-18 . A87C3A6B407FB3B22C566315607CE229 . 101888 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\services.exe

[-] 2004-08-03 . 54E7113A4BD696E430919BCAF5C65E06 . 57856 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\spoolsv.exe
[-] 2004-08-03 . 54E7113A4BD696E430919BCAF5C65E06 . 57856 . . [5.1.2600.2180] . . c:\windows\system32\spoolsv.exe
[-] 2001-08-18 . 9B627E6DA0EA47A3A664F69D954831D7 . 51200 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe

[-] 2004-08-03 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2004-08-03 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
[-] 2001-08-23 . 2B0E480E975EE51F2D5CE5F068FED6E2 . 430080 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[7] 2009-08-06 . 62BB79160F86CD962F312C68C6239BFD . 53472 . . [7.4.7600.226] . . c:\windows\SoftwareDistribution\SelfUpdate\wuauclt.exe
[-] 2004-08-03 . 032CA12162E89E545356525554EA12A7 . 111616 . . [5.4.3790.2180] . . c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2004-08-03 . 032CA12162E89E545356525554EA12A7 . 111616 . . [5.4.3790.2180] . . c:\windows\system32\wuauclt.exe
[-] 2001-08-18 . C2B468065CB4EBFD490E7875A3EACBCB . 114176 . . [5.4.2600.0] . . c:\windows\$NtServicePackUninstall$\wuauclt.exe

[-] 2004-08-03 . 2CF914215226B3F7FA1AE4A47E4D261C . 611328 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2004-08-03 . 2CF914215226B3F7FA1AE4A47E4D261C . 611328 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2001-08-18 . 5F50AB09DCACF8375DB0A1700E01A844 . 557568 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll

[-] 2004-08-03 . 1A5F9DB98DF7955B4C7CBDBF2C638238 . 60416 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\cryptsvc.dll
[-] 2004-08-03 . 1A5F9DB98DF7955B4C7CBDBF2C638238 . 60416 . . [5.1.2600.2180] . . c:\windows\system32\cryptsvc.dll
[-] 2001-08-18 . C6C7C1A603686BCC2FED01D04DE2117D . 51200 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\cryptsvc.dll

[-] 2004-08-03 22:57 . 4E1A8645EE77CB9454FFE53C59620A25 . 243200 . . [2001.12.4414.258] . . c:\windows\ServicePackFiles\i386\es.dll
[-] 2004-08-03 22:57 . 4E1A8645EE77CB9454FFE53C59620A25 . 243200 . . [2001.12.4414.258] . . c:\windows\system32\es.dll
[-] 2001-08-18 12:00 . 4359EC03BBAFB6BFE5CC7D4CEA237AE7 . 224768 . . [2001.12.4414.42] . . c:\windows\$NtServicePackUninstall$\es.dll

[-] 2004-08-03 . 94101D13A1818A9D08337EEC12ED277A . 110080 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\imm32.dll
[-] 2004-08-03 . 94101D13A1818A9D08337EEC12ED277A . 110080 . . [5.1.2600.2180] . . c:\windows\system32\imm32.dll
[-] 2001-08-18 . 83EB9E41D3878B7638E918F44AFA063B . 96768 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\imm32.dll

[-] 2004-08-03 . E6CD85D0D37416CF138F01F4BB0FC872 . 1057280 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\kernel32.dll
[-] 2004-08-03 . E6CD85D0D37416CF138F01F4BB0FC872 . 1057280 . . [5.1.2600.2180] . . c:\windows\system32\kernel32.dll
[-] 2001-08-18 . 48DBE861B0B078C7FB6FBAEA196EA4F7 . 1000448 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\kernel32.dll

[-] 2004-08-03 . 3898FFF548E2968CB3AC5A71D7F4E425 . 18944 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\linkinfo.dll
[-] 2004-08-03 . 3898FFF548E2968CB3AC5A71D7F4E425 . 18944 . . [5.1.2600.2180] . . c:\windows\system32\linkinfo.dll
[-] 2001-08-18 . 9F3DFB3AB112AD8F45301B1493B491D6 . 15360 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\linkinfo.dll

[-] 2004-08-03 . B4AD65C79F85C61D32C015B11E03CAAD . 22016 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\lpk.dll
[-] 2004-08-03 . B4AD65C79F85C61D32C015B11E03CAAD . 22016 . . [5.1.2600.2180] . . c:\windows\system32\lpk.dll
[-] 2001-08-18 . 0828618E6DCA2DAB89725E74338357CA . 18944 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\lpk.dll

[-] 2004-08-03 . CAC51AD576713E5F0CE2251ED3A7FE82 . 3003392 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\mshtml.dll
[-] 2004-08-03 . CAC51AD576713E5F0CE2251ED3A7FE82 . 3003392 . . [6.00.2900.2180] . . c:\windows\system32\mshtml.dll
[-] 2001-08-18 . DCE2657269926B3212555213FE3AB3C7 . 2793984 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\mshtml.dll

[-] 2004-08-03 . B30BAA48E5063E71C76280E34E7E4802 . 343040 . . [7.0.2600.2180] . . c:\windows\ServicePackFiles\i386\msvcrt.dll
[-] 2004-08-03 . B30BAA48E5063E71C76280E34E7E4802 . 343040 . . [7.0.2600.2180] . . c:\windows\system32\msvcrt.dll
[-] 2001-08-18 . 8CC604F08C0E524F2FF48EC0EEB36B8C . 322560 . . [7.0.2600.0] . . c:\windows\$NtServicePackUninstall$\msvcrt.dll

[-] 2004-08-03 . B36E08F680BAE4DFC5C24D00A2DFC9E7 . 247296 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\mswsock.dll
[-] 2004-08-03 . B36E08F680BAE4DFC5C24D00A2DFC9E7 . 247296 . . [5.1.2600.2180] . . c:\windows\system32\mswsock.dll
[-] 2001-08-18 . 6F9DD8E7D5CABFAA9AC908E4DFB89A9C . 230400 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\mswsock.dll

[-] 2004-08-03 . D27395EDCD3416AFD125A9370DCB585C . 407040 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\netlogon.dll
[-] 2004-08-03 . D27395EDCD3416AFD125A9370DCB585C . 407040 . . [5.1.2600.2180] . . c:\windows\system32\netlogon.dll
[-] 2001-08-18 . 3DBBB866B1E7287E899DA9BC20E9F129 . 397824 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\netlogon.dll

[-] 2004-08-03 . DC888C9C4CA0EEA7A3CB7E6B610F75C7 . 2183296 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ntoskrnl.exe
[-] 2004-08-03 . C3EC5DD56E3EB15D80AF9FCEE030CABD . 2150912 . . [5.1.2600.2180] . . c:\windows\system32\ntoskrnl.exe
[-] 2001-08-18 . EA196C588337BA72A3255A6C1808B95B . 1900544 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ntoskrnl.exe

[-] 2004-08-03 . 5604574D490B798BD9A946B021A766AD . 17408 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\powrprof.dll
[-] 2004-08-03 . 5604574D490B798BD9A946B021A766AD . 17408 . . [6.00.2900.2180] . . c:\windows\system32\powrprof.dll
[-] 2001-08-18 . F534781128F82E883DC4AADBF7FFD0C5 . 14848 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\powrprof.dll

[-] 2004-08-03 . 64DC26B3CF7BCCAD431CE360A4C625D5 . 186880 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\scecli.dll
[-] 2004-08-03 . 64DC26B3CF7BCCAD431CE360A4C625D5 . 186880 . . [5.1.2600.2180] . . c:\windows\system32\scecli.dll
[-] 2001-08-18 . 8AF9B2782330AF8BD46B30239E455E77 . 180736 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\scecli.dll

[-] 2004-08-03 . F62934BC94299083EBFC8810242D8640 . 5120 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\sfc.dll
[-] 2004-08-03 . F62934BC94299083EBFC8810242D8640 . 5120 . . [5.1.2600.2180] . . c:\windows\system32\sfc.dll
[-] 2001-08-18 . C4940606611F3EF1C4E7C88C4EBD55A8 . 4096 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\sfc.dll

[-] 2004-08-03 . 65A819B121EB6FDAB4400EA42BDFFE64 . 14336 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\svchost.exe
[-] 2004-08-03 . 65A819B121EB6FDAB4400EA42BDFFE64 . 14336 . . [5.1.2600.2180] . . c:\windows\system32\svchost.exe
[-] 2001-08-18 . ADBB33D5893BCF08E75EA54BB5669205 . 12800 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\svchost.exe

[-] 2004-08-03 . 4584E2A5FE662AB3E7C32936E1449043 . 246272 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\tapisrv.dll
[-] 2004-08-03 . 4584E2A5FE662AB3E7C32936E1449043 . 246272 . . [5.1.2600.2180] . . c:\windows\system32\tapisrv.dll
[-] 2001-08-18 . 1551785F5F010F6F867C413932BBD025 . 233984 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\tapisrv.dll

[-] 2004-08-03 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2004-08-03 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\system32\user32.dll
[-] 2001-08-18 . 6873D38E021EAC4E0B508D1822157C1D . 562688 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\user32.dll

[-] 2004-08-03 . D1E53DC57143F2584B1DD53B036C0633 . 25088 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\userinit.exe
[-] 2004-08-03 . D1E53DC57143F2584B1DD53B036C0633 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\userinit.exe
[-] 2001-08-18 . 292F283D9E2D49A91DF039C1076ACD18 . 22016 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\userinit.exe

[-] 2004-08-03 . B1A1DA99C4A6EBFD59F86A453BF02F39 . 662016 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\wininet.dll
[-] 2004-08-03 . B1A1DA99C4A6EBFD59F86A453BF02F39 . 662016 . . [6.00.2900.2180] . . c:\windows\system32\wininet.dll
[-] 2001-08-18 . B3B023B390F7AB35900D87AE4474A045 . 599552 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\wininet.dll

[-] 2004-08-03 . D569240A22421D5F670BB6FB6DD522B5 . 82944 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ws2_32.dll
[-] 2004-08-03 . D569240A22421D5F670BB6FB6DD522B5 . 82944 . . [5.1.2600.2180] . . c:\windows\system32\ws2_32.dll
[-] 2001-08-18 . AE894C124FEB008AD1876EF655967685 . 75264 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ws2_32.dll

[-] 2004-08-03 . B3ADA72D1E3E10A8F6430669DFC38ED0 . 19968 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ws2help.dll
[-] 2004-08-03 . B3ADA72D1E3E10A8F6430669DFC38ED0 . 19968 . . [5.1.2600.2180] . . c:\windows\system32\ws2help.dll
[-] 2001-08-18 . 17ED93B7DA379EE57C481A35E24F2973 . 18944 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ws2help.dll

[-] 2004-08-03 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-03 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2001-08-18 . D1A32C0C43F7CB53050042FD631020D9 . 1004032 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2004-08-03 . D700449AD3045E81680C25A79620A171 . 1281536 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ole32.dll
[-] 2004-08-03 . D700449AD3045E81680C25A79620A171 . 1281536 . . [5.1.2600.2180] . . c:\windows\system32\ole32.dll
[-] 2001-08-18 . 5CD1220DF466A6A46891B02202970212 . 1141760 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ole32.dll

[-] 2004-08-03 . 015F302C4CF961F20C3F98F3A7CA7917 . 171008 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\srsvc.dll
[-] 2004-08-03 . 015F302C4CF961F20C3F98F3A7CA7917 . 171008 . . [5.1.2600.2180] . . c:\windows\system32\srsvc.dll
[-] 2001-08-18 . E34564A8B1882DEFDAC3E1900CB523A6 . 155648 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\srsvc.dll

[-] 2004-08-03 . 7D3E0BEB62799112F5C9FF717D72BF29 . 13824 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\wscntfy.exe
[-] 2004-08-03 . 7D3E0BEB62799112F5C9FF717D72BF29 . 13824 . . [5.1.2600.2180] . . c:\windows\system32\wscntfy.exe

[-] 2004-08-03 . 8302DE1C64618D72346DD0034DBC5D9B . 129536 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\xmlprov.dll
[-] 2004-08-03 . 8302DE1C64618D72346DD0034DBC5D9B . 129536 . . [5.1.2600.2180] . . c:\windows\system32\xmlprov.dll

[-] 2004-08-03 . B932C077D5A65B71B4512544AC404CB4 . 55808 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\eventlog.dll
[-] 2004-08-03 . B932C077D5A65B71B4512544AC404CB4 . 55808 . . [5.1.2600.2180] . . c:\windows\system32\eventlog.dll
[-] 2001-08-18 . D9D9F2CC2AE17FDE1858F43CD93140C0 . 47616 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\eventlog.dll

[-] 2004-08-03 . 80F7B7198B869C07C98627AF812D68B6 . 1548288 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\sfcfiles.dll
[-] 2004-08-03 . 80F7B7198B869C07C98627AF812D68B6 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
[-] 2001-08-18 . 7240CAB5A0488A689E898C3FC5C1014D . 1565696 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\sfcfiles.dll

[-] 2004-08-03 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2004-08-03 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe
[-] 2001-08-18 . D7CE89274B884B6B59764D96B49003DF . 13312 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe

[-] 2004-08-03 . BAC5F7F0C2B8C1B9832594851E0F9914 . 135168 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\shsvcs.dll
[-] 2004-08-03 . BAC5F7F0C2B8C1B9832594851E0F9914 . 135168 . . [6.00.2900.2180] . . c:\windows\system32\shsvcs.dll
[-] 2001-08-18 . 61025FBDA8B77672A8986E27E67C7B5F . 115200 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\shsvcs.dll

[-] 2004-08-03 . AE81CF7D7CFA79CD03E8FB99788A7E09 . 59904 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\regsvc.dll
[-] 2004-08-03 . AE81CF7D7CFA79CD03E8FB99788A7E09 . 59904 . . [5.1.2600.2180] . . c:\windows\system32\regsvc.dll
[-] 2001-08-18 . A64075D3B242D36A7407327D2412EF96 . 51712 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\regsvc.dll

[-] 2004-08-03 . D5E73842F38E24457C63FEF8CEFFBE19 . 192000 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\schedsvc.dll
[-] 2004-08-03 . D5E73842F38E24457C63FEF8CEFFBE19 . 192000 . . [5.1.2600.2180] . . c:\windows\system32\schedsvc.dll
[-] 2001-08-18 . 6D3580AD330B6BD4B8A4A82791A4E015 . 159744 . . [4.71.2600.1] . . c:\windows\$NtServicePackUninstall$\schedsvc.dll

[-] 2004-08-03 . 6FA03B462B2FFFE2627171B7FE73EE29 . 71680 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ssdpsrv.dll
[-] 2004-08-03 . 6FA03B462B2FFFE2627171B7FE73EE29 . 71680 . . [5.1.2600.2180] . . c:\windows\system32\ssdpsrv.dll
[-] 2001-08-18 . D33171F9F87B55E55BB88293DDAFD72F . 39936 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ssdpsrv.dll

[-] 2004-08-03 . 1850BC10DE5DCCCEDE063FC2D0F2CEDA . 297472 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\termsrv.dll
[-] 2004-08-03 . 1850BC10DE5DCCCEDE063FC2D0F2CEDA . 297472 . . [5.1.2600.2180] . . c:\windows\system32\termsrv.dll
[-] 2001-08-18 . 6E6B01E1A51272832ADBEC2AD5CDEF71 . 199680 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\termsrv.dll

[-] 2004-08-03 . BECD5328E7869807D6557BE4FE60C72F . 175616 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\appmgmts.dll
[-] 2004-08-03 . BECD5328E7869807D6557BE4FE60C72F . 175616 . . [5.1.2600.2180] . . c:\windows\system32\appmgmts.dll
[-] 2001-08-18 . CF5AD58C505A40BF7B85C6D1D9575250 . 163328 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\appmgmts.dll

[-] 2001-08-18 . 9E1CA3160DAFB159CA14F83B1E317F75 . 12160 . . [5.1.2600.0] . . c:\windows\system32\drivers\acpiec.sys

[-] 2004-08-03 20:39 . 841F385C6CFAF66B58FBD898722BB4F0 . 142464 . . [5.1.2601.2078] . . c:\windows\ServicePackFiles\i386\aec.sys
[-] 2004-08-03 20:39 . 841F385C6CFAF66B58FBD898722BB4F0 . 142464 . . [5.1.2601.2078] . . c:\windows\system32\dllcache\aec.sys
[-] 2004-08-03 20:39 . 841F385C6CFAF66B58FBD898722BB4F0 . 142464 . . [5.1.2601.2078] . . c:\windows\system32\drivers\aec.sys

[-] 2004-08-03 . 2C428FA0C3E3A01ED93C9B2A27D8D4BB . 42368 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\agp440.sys
[-] 2004-08-03 . 2C428FA0C3E3A01ED93C9B2A27D8D4BB . 42368 . . [5.1.2600.2180] . . c:\windows\system32\drivers\agp440.sys

[-] 2004-08-03 . 4448006B6BC60E6C027932CFC38D6855 . 29056 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ip6fw.sys
[-] 2004-08-03 . 4448006B6BC60E6C027932CFC38D6855 . 29056 . . [5.1.2600.2180] . . c:\windows\system32\drivers\ip6fw.sys

[-] 2001-08-18 12:00 . 31DD27AB47F62D383505F35CA972748B . 924432 . . [4.1.6140] . . c:\windows\system32\mfc40u.dll
[-] 2001-08-18 12:00 . 31DD27AB47F62D383505F35CA972748B . 924432 . . [4.1.6140] . . c:\windows\system32\dllcache\mfc40u.dll

[-] 2004-08-03 . E5215AB942C5AC5F7EB0E54871D7A27C . 33792 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\msgsvc.dll
[-] 2004-08-03 . E5215AB942C5AC5F7EB0E54871D7A27C . 33792 . . [5.1.2600.2180] . . c:\windows\system32\msgsvc.dll
[-] 2001-08-18 . EB4C813270288643D592476687EC1E4F . 34304 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\msgsvc.dll

[-] 2004-08-03 22:57 . D68CC4EBF7B03FD770D5962295AD814E . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll
[-] 2004-08-03 22:57 . D68CC4EBF7B03FD770D5962295AD814E . 52736 . . [9.0.1.56] . . c:\windows\system32\mspmsnsv.dll

[-] 2004-08-03 . F8D35488D41B19A306A454FFC0ED0336 . 2017792 . . [5.1.2600.2180] . . c:\windows\system32\ntkrnlpa.exe
[-] 2004-08-03 . CE41FC4C06499A389D39B301879535FB . 2059136 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ntkrnlpa.exe
[-] 2001-08-18 . 5C2F4BD52105CDC5AAC9C72129F9F05E . 1872384 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ntkrnlpa.exe

[-] 2004-08-03 22:57 . 428AA946A8D9F32DBB4260C8E6E13377 . 438272 . . [5.1.2400.2180] . . c:\windows\ServicePackFiles\i386\ntmssvc.dll
[-] 2004-08-03 22:57 . 428AA946A8D9F32DBB4260C8E6E13377 . 438272 . . [5.1.2400.2180] . . c:\windows\system32\ntmssvc.dll
[-] 2001-08-18 12:00 . 089E8C2133AA47F23F3027099E17A96D . 395264 . . [5.1.2400.1] . . c:\windows\$NtServicePackUninstall$\ntmssvc.dll

[-] 2004-08-03 . 09D4A2D7C5A8ABEC227D118765FAADDF . 185856 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\upnphost.dll
[-] 2004-08-03 . 09D4A2D7C5A8ABEC227D118765FAADDF . 185856 . . [5.1.2600.2180] . . c:\windows\system32\upnphost.dll
[-] 2001-08-18 . 8696F5DDCEC5E74360B67BAFD28127EC . 163840 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\upnphost.dll

[-] 2004-08-03 . 7DB3393F98E4211F5CE8F003DE0615CF . 367616 . . [5.3.2600.2180] . . c:\windows\ServicePackFiles\i386\dsound.dll
[-] 2004-08-03 . 7DB3393F98E4211F5CE8F003DE0615CF . 367616 . . [5.3.2600.2180] . . c:\windows\system32\dsound.dll
[-] 2001-08-18 . 6ABAB521266DF990F890DA2C38F6FCA2 . 338944 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\dsound.dll

[-] 2004-08-03 . 20AE7889467887B869F30308EEED9A2A . 1689088 . . [5.03.2600.2180] . . c:\windows\ServicePackFiles\i386\d3d9.dll
[-] 2004-08-03 . 20AE7889467887B869F30308EEED9A2A . 1689088 . . [5.03.2600.2180] . . c:\windows\system32\d3d9.dll

[-] 2004-08-03 . CAC545A56482DE01640E6B791DE19944 . 266240 . . [5.03.2600.2180] . . c:\windows\ServicePackFiles\i386\ddraw.dll
[-] 2004-08-03 . CAC545A56482DE01640E6B791DE19944 . 266240 . . [5.03.2600.2180] . . c:\windows\system32\ddraw.dll
[-] 2001-08-18 . 82E9252C8253D14BB0145C0EEC4C1D8B . 267264 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ddraw.dll

[-] 2004-08-03 22:57 . 1404D3DD4ED4F5E2A938B43794049A81 . 83456 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\olepro32.dll
[-] 2004-08-03 22:57 . 1404D3DD4ED4F5E2A938B43794049A81 . 83456 . . [5.1.2600.2180] . . c:\windows\system32\olepro32.dll
[-] 2001-08-18 12:00 . 1372F0DAF79F4FB7006ACDAADA3F1C24 . 106496 . . [5.0.5014] . . c:\windows\$NtServicePackUninstall$\olepro32.dll

[-] 2004-08-03 . 007BFD01772B5202C5CE4F208A2F3F46 . 41984 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\perfctrs.dll
[-] 2004-08-03 . 007BFD01772B5202C5CE4F208A2F3F46 . 41984 . . [5.1.2600.2180] . . c:\windows\system32\perfctrs.dll
[-] 2001-08-18 . 77FA386E168C629D846242C780C13A0F . 39424 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\perfctrs.dll

[-] 2004-08-03 . 4EF2FDC0A085C8339ED4D9C59CE8FC60 . 18944 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\version.dll
[-] 2004-08-03 . 4EF2FDC0A085C8339ED4D9C59CE8FC60 . 18944 . . [5.1.2600.2180] . . c:\windows\system32\version.dll
[-] 2001-08-18 . 78A75A737B6CA0EFA56A9CA912FB7C2D . 16384 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\version.dll

[-] 2004-08-03 . B39A6AF04A431E317C85BF061719E705 . 93184 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\iexplore.exe
[-] 2001-08-18 . D339BED9B32B429583E16DCB0C441FAF . 91136 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\iexplore.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-16 18:11        12536        ----a-w-        c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10        35696        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43        69632        ------r-        c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG9_TRAY]
2010-07-16 18:11        2065760        ----a-w-        c:\progra~1\AVG\AVG9\avgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-03 22:57        15360        ----a-w-        c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2005-08-05 11:57        1200128        ----a-w-        c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-05-11 21:12        49152        ----a-w-        c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2005-06-10 08:44        81920        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-08-03 22:58        1667584        ------w-        c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-04-20 13:32        8429568        ----a-w-        c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-04-20 13:32        81920        ----a-w-        c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-04-20 13:32        1626112        ----a-w-        c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-04-10 07:28        16126464        ------r-        c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2007-04-04 09:22        1822720        ------r-        c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-05-31 13:36        148888        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"WmiApSrv"=3 (0x3)
"Wmi"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=2 (0x2)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TrkWks"=2 (0x2)
"TlntSvr"=3 (0x3)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RemoteRegistry"=2 (0x2)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"PlugPlay"=2 (0x2)
"NVSvc"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=3 (0x3)
"Netlogon"=3 (0x3)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"LmHosts"=2 (0x2)
"Lavasoft Ad-Aware Service"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"ImapiService"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=2 (0x2)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"Dnscache"=2 (0x2)
"dmserver"=2 (0x2)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=3 (0x3)
"cisvc"=3 (0x3)
"Browser"=2 (0x2)
"BITS"=3 (0x3)
"avg9wd"=2 (0x2)
"AudioSrv"=2 (0x2)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"Adobe LM Service"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-07-16 216400]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2010-07-16 243024]
R2 sw848b;sw848b; [x]
R2 sw878b;sw878b; [x]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [2010-08-12 15008]
R3 RTLWUSB;11g Wireless USB Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [x]
R3 SjyPkt;SjyPkt;c:\windows\System32\Drivers\SjyPkt.sys [x]
R4 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [2010-07-16 308136]
R4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2010-08-12 1355416]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-08-12 64288]

.
Inhalt des "geplante Tasks" Ordners

2010-09-25 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 12:15]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://w*w.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\U\Anwendungsdaten\Mozilla\Firefox\Profiles\f9mowu7y.default\
FF - prefs.js: browser.startup.homepage - hxxp://w*w.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPZoneSB.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-ISUSPM Startup - c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
AddRemove-{5B79CFD1-6845-4158-9D7D-6BE89DF2C135} - c:\programme\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\setup\hpzscr01.exe
AddRemove-{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://w*w.gmer.net
Rootkit scan 2010-09-27 21:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-09-27  21:49:54
ComboFix-quarantined-files.txt  2010-09-27 19:49

Vor Suchlauf: 6 Verzeichnis(se), 90.986.582.016 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 93.562.601.472 Bytes frei

- - End Of File - - 84806DDF2B5D66762214372A1EBA80F4
--- --- ---

cosinus 29.09.2010 10:23
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
[2010.09.27 16:29:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{437292BE-95BD-4B12-B699-6D217A03ACAF}
[2010.09.27 16:56:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E}
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Alf0108 29.09.2010 11:04
hier kommt das OTL logfile:

All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{437292BE-95BD-4B12-B699-6D217A03ACAF} folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E} folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: All Users

User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 8620603 bytes
->FireFox cache emptied: 44610432 bytes
->Flash cache emptied: 2974 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: U
->Temp folder emptied: 641742 bytes
->Temporary Internet Files folder emptied: 92686 bytes
->Java cache emptied: 25536938 bytes
->FireFox cache emptied: 53384770 bytes
->Flash cache emptied: 10491 bytes

User: ***
->Temp folder emptied: 592429 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 2142593 bytes
->FireFox cache emptied: 59945425 bytes
->Flash cache emptied: 20182 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1119339 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16448 bytes
RecycleBin emptied: 16667 bytes

Total Files Cleaned = 188,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 09292010_113729

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 29.09.2010 11:33
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Alf0108 29.09.2010 13:05
Danke - zunächst nur die Logs von GMER & OSAM posten
und auf Feedback warten bevor ich den rootkit remover starte
oder alle 3 Logs auf einmal posten ?

Gruss, Alf0108

cosinus 29.09.2010 14:02
Mach ruhig alle drei Logs.

Alf0108 29.09.2010 14:35
anbei die Log Dateien von:
GMER: gmer.txt
OSAM: osam.html
bootkit-remover: bootkitRemoverLog.txt
bootkit-remover - dump \\.\PhysicalDrive0

falls ich versuche, mich mit meinen infizierten PC beim
trojaner-board anzumelden, werde ich sofort wieder
abgemeldet - von meinem laptop, von dem ich poste
hingegen kein Problem

schonmal jetzt vielen Dank für die Hilfe.

cosinus 30.09.2010 11:22
Um nochmal sicherzugehen, dass der MBR ok ist:
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Alf0108 30.09.2010 12:11
der Logfile vom MBR_check ist angehängt.

Gruss, Alf0108

cosinus 30.09.2010 15:25
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Alf0108 30.09.2010 19:58
anbei die Logs der Vollscans

Gruss, Alf0108

cosinus 30.09.2010 20:05
Sieht ok aus, keine Funde :)
Noch Probleme oder weitere Funde in der Zwischenzeit?

Alf0108 01.10.2010 09:30
Ad-aware update funktioniert und autoscreenlock geht auch wieder -
es sieht so aus dass die Plagegeister weg sind !!

Vielen vielen Dank für die riesige Hilfe !!

Alf0108


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:16 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131