| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.Redol eingefangen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.07.2009, 02:02
| #1 |
| |  TR/Crypt.Redol eingefangen? Hallo zusammen, bei mir wollte sich vor ein paar Tagen CryptRedol.Gen.2.3 oder Alureon installieren, bin jetzt aber nicht sicher ob er das wirklich auch getan hat oder ob ich Glück gehabt habe. Ich habe mir von unserem WG-Fileserver die Nero 9.4.12.13b Trial heruntergeladen (ja, ich weiß, sollte ich mir direkt von Ahead holen, nur machen 400MB Download bei DSL1000 keinen Spaß und es musste mal wieder schnell gehen... also umso besser, wenn's einer der WG Kollegen schon geladen hat) und wollte die installieren. Ich habe die Datei zwar noch mit Malwarebytes AntiMalware gescanned (so ganz traue meinen Mitbewohnern da auch nicht - war aber sauber), anschließend aber vergessen, den Guard von AntiVir wieder zu aktivieren. Der zweite Fehler war dann, bei OnlineArmor den InstallModus anzuklicken. Zuerst mal ist mir aufgefallen, dass es relativ lang gedauert hat, bis der Nero-Entpacker gestartet ist, zum anderen hat sich am Ende des Entpackvorganges der Rechner mit einem BSOD verabschiedet. Ich habe es dann ein zweites Mal probiert, wieder mit demselben Ergebnis. Zunächst habe ich mir nicht viel dabei gedacht, dann hat aber AntiVir ein paar Stunden später beim Laufwerksscan zwei sys-Dateien mit Zufallsnamen in Windows\System32\Driver als TR/Crypt.Zpack gemeldet. Bei Virustotal habe ich die Datei hochgeladen und 3/41 Treffer als Ergebnis (sorry, hab's nicht gebookmarked und die Dateien sind mittlerweile gelöscht - könnte zur Not aber mal schauen, ob die sich wiederherstellen lassen). Ich habe dann auch mal noch eine Meldung bekommen, dass Services.exe auf eine dieser Dateien zugreifen will, was ich mit OnlineArmor geblockt habe - die Meldung kam aber nicht beim Start, sondern nachdem ich eine dieser Dateien aus der Quarantäne nach C:\Temp kopiert habe um die zu VirusTotal zu schicken - wobei seltsamerweise im Log von OnlineArmor nichts zu finden war. Die einzige Kopie der Services.exe konnte ich bei einer Suche direkt danach in C:\Windows\System32 finden, also dort wo sie hingehört, und die ist laut VirusTotal.com sauber. Auch im Task-Manager gab es nur eine Version. Ich habe sicherheitshalber aber mal alle Temp-Ordner geleert. Ich habe danach den Rechner zunächst mal vom Netz getrennt (außer für Definitionsupdates und den Kaspersky Scan) über die nächsten Tage mit allen möglichen Programmen gescanned: A2, Malwarebytes AntiMalware, AdAware, Avast, Antivir, Spy Doctor (auf dem Rechner) Kaspersky (online) F-Secure, Knoppicillin 6 (von CD) Gmer, Blacklight (Rootkit-Suche) ThreatAlert MemoryScanner OnlineArmor (Netzwerkverkehr überwacht, allerdings nur visuell, Log war nicht aktiv) Das Ergebnis war grundsätzlich negativ, hat absolut gar nichts gefunden. Dann habe ich auch noch das HijackThis Log auf HijackThis.de durch die automatische Analyse laufen lassen, da gab es soweit ich erkennen konnte auch keine Auffälligkeiten. Die F-Secure CD habe ich zwei Tage später nochmal mit neuen Definitionen laufen lassen, wieder negativ. Hat mich jetzt aber noch nicht so richtig beruhigt und als ich dann noch festgestellt habe, dass die Datei auf unserem Fileserver etwas größer ist als das Original von Ahead (das ich mittlerweile dann doch geladen habe), habe ich diese Backup-Datei mal in einer Parallels VM auf dem MacBook laufen lassen. Und da kam folgendes raus (zunächst mal sorry, dass es nur grob ist, hab ich mitten in der Nacht gemacht und die VM-Datei anschließend gleich gelöscht) - überwacht mit Online Armor: ### Bezieht sich ab hier auf den Test in der VM ### Das Setup entpackt zuerst eine .tmp Datei mit knapp 400 MB im temporären Ordner des Benutzers. Anschließend erzeugt sie (wohl aus der .tmp) einen temporären Ordner in dem sich die echte Nero 9.4.12.13b-Setup-Datei und eine live-update.exe befindet - letztere ergibt bei Virustotal die o.g. Treffer (hab leider den Hash nicht mehr, habe das alles aus der VM heraus getestet und die ist wie gesagt weg). Danach wird das echte Nero-Setup gestartet. Dieses entpackt nun weitere temporäre Dateien, am Ende des Entpackvorganges, nach Start der setupX.exe von Nero, wird dann von der falschen Nero 9.4.12.13b-Setup-Datei die live-update.exe gestartet. Diese will nun auf die msdss.dll im Speicher zugreifen. Anschließend will eine spoolsrv.exe (bin mir nicht 100%ig sicher, aber die Schreibweise müsste stimmen) eine .sys-Datei mit Zufallsnamen in Windows\System32\Driver ablegen. Am Ende löscht es dann diese .sys-Datei und danach auch die live-update.exe (und das ist bei mir auf meinem Hauptsystem nicht mehr passiert, irgendwo bei der Installation hat mein - etwas zugemülltes - System dann mit dem BSOD reagiert). Diese Löschungen erfolgen übrigens auch, wenn ich die live-update.exe selbst ausführe. Allerdings bleiben dann zwei .tmp-Dateien im Temp-Ordner des Benutzers übrig, von denen eine als Trojaner erkannt wird. Diese sind allerdings in der Registy zur Löschung bei Neustart vorgemerkt (PendingFileRenameOperations mit leerem Ziel). Ich habe nun einen Scan mit GMER und Blacklight, einen Systemscan mit Antivir und einen Memoryscan mit ThreatExpert Memory Scanner ausgeführt sowie mir den Netzwerkverkehr mit OnlineArmor angeschaut (leider bei OA ohne das Logging der Firewall zu aktivieren, habe ich in der Test-VM vergessen). Mit AntiMalware wollte ich auch noch scannen, das gab aber einen Fehler beim Start. Alles war negativ, es ist wurde nichts gefunden. Ich habe dann das Windows in der VM neu gestartet und die Scans wiederholt. Gmer hat daraufhin einen versteckten Prozess in Windows\System32\ gefunden (analog zu dem im 4. Post von oben auf dieser Seite - achja, mich würde interessieren, was der Fund genau bedeutet... dass es eine versteckte Datei ist, ist klar, nur was bedeutet der Bezug auf andere Prozesse?). Bei OnlineArmor hatte ich eine kurze Connection zu einer ungewöhnlichen Adresse, hat nach etwas in der Art von DynDNS, die URL begann mit einer Zahlen- und Buchstabenkombination, anschließend kam ein Hostname in Deutschland - wie oben erwähnt, Logging hatte ich vergessen anzuschalten, daher geht's nicht genauer). Blacklight und TEMS haben haben rein gar nichts gefunden. Im Browser hatte ich beim ersten Zugriff eine Weiterleitung auf eine andere URL als die eingegbene. Den AntiVir Scan habe ich daraufhin abgebrochen (sorry, war 5 Uhr morgens, da hatte ich keine Lust mehr), die VM beendet und die VM-Datei gelöscht - sicherheitshalber, meine Freundin benutzt das Macbook auch und ein VM-Name wie "Virentest" hält da nicht zwangsläufig vom Start ab. ### Ende Test in der VM ### Mein Hauptsystem habe ich danach nochmals mit GMER untersucht, zwar ein ellenlanges Log (wie gesagt, System ist zugemüllt, konnte das Meiste selbst als harmlos erkennen) bekommen, aber keine Warnung. Über die letzten Tage liefen immer entweder AntiVir oder die Testversion von Avast Pro. Online Armor war meist installiert, jedoch in der Regel ohne Firewall Logging und wenn, dann hat es nur die geblockten gelogged. Die Netzwerkverbindung hatte ich wie oben erwähnt zunächst mal gekappt, nach den ersten negativen Virenscans war sie zeitweise wieder aktiv. Logs von HijackThis und GMER sowie ein Bootlog folgen in den nächsten Postings. Ich habe jetzt noch mit diversen Rootkit-Scannern (Sophos. Rootkit Unhooker, RootKitBuster, Blacklight) gescanned, die melden alle nichts. AntiMalware lasse ich gerade laufen. Danach darf sich noch die Avira Rescue CD austoben. OnlineArmor kommt anschließend wieder drauf, logged dann den kompletten Netzwerkverkehr - nach meiner Erfahrung mit der VM scheint das die Connections erkennen - aber leider nicht verhindern - zu können. Gefahrenpotential: Auf dem Rechner sind natürlich im Firefox einige Passwörter gespeichert (da hätte ich wohl lieber meinen Passworttresor mit AES-256 nach dem letzten Plattmachen wieder installieren sollen). Die habe ich erst teilweise geändert (vom MacBook aus, das sollte als sicher gelten), habe aber ein Auge auf die entsprechenden Accounts (zumindest auf die kritischen wie Ebay, Amazon oder Paypal). Online-Banking wird von dem Rechner auch gemacht, jedoch nicht über Browser, sondern früher mit StarMoney (ist noch drauf) und jetzt mit WISO Mein Geld 2009. Allerdings bin ich seit der möglichen Infektion nicht mehr in die entsprechenden Konten gegangen (hatte nur Mein Geld ein Mal geöffnet, um mir die Seriennummer für eine etwaige Neuinstallation aufzuschreiben, habe mich aber nicht eingelogged) und die Datentresore der beiden Programme benutzen ja starke Verschlüsselungen, so dass da nichts passieren kann. Die infizierte Installationsdatei ist natürlich vom Fileserver runter... und alle in der WG sind selbstverständlich völlig ahnungslos, wie die da drauf kam. Mal schauen wer die nächsten Tage hektisch den Rechner neuinstalliert  .Was wären jetzt Eure Ratschläge? Klar, Plattmachen hilft, hatte ich eigentlich sowieso wieder vor, nur würde mich auch noch interessieren, ob es nun eine Infektion gab oder nicht - gerade um zu wissen, ob ich meine ganzen Online-Accounts in nächster Zeit genauer beobachten muss. Wie hoch ist eigentlich die Wahrscheinlichkeit von Manipulationen am MBR? Das müssten doch zumindest die Scanner auf CD problemlos feststellen können, oder? Und GMER prüft den ja auch. Und ist es wahrscheinlich, dass sich irgendwas in anderen Partitionen festgesetzt hat und nach der Neuinstallation bzw. von Scannern auf CD nicht gefunden wird? Geht mir einfach drum, welchen Aufwand ich bei der Datensicherung betreiben muss. Auf der Systempartition selbst wären im Wesentlichen Bilder, die Email Accounts und noch ein paar Dokumente (wobei die wirklich wichtigen auf anderen Partitionen lagern und mit TrueImage regelmäßig auf externe Festplatte gesichert werden). Die würde ich mit TrueImage (über BootCD) sichern und nach der Neuinstallation zurückspielen. Danke schon mal und Gruss, Jogy |
|
28.07.2009, 02:10
| #2 |
| | TR/Crypt.Redol eingefangen? Hier das Gmer-Log. Die aufgeführten Daemon Tools sind übrigens schon länger deinstalliert... kann ich die Registry-Einträge einfach mit GMER löschen? Ist leider zu lang für ein Posting.
__________________Code:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-28 02:51:47
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xA7ED86B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xA7ED8574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xA7ED8A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xA7ED814C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xA7ED864E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xA7ED808C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xA7ED80F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xA7ED876E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xA7ED872E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xA7ED88AE]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\a-squared Free\a2service.exe[3104] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045493D C:\Programme\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
.text C:\WINDOWS\system32\SearchIndexer.exe[3772] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[900] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00390002
IAT C:\WINDOWS\system32\services.exe[900] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00390000
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegCloseKey] [01023004] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegCreateKeyExW] [01023184] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegOpenKeyExW] [01023337] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegOpenKeyExA] [0102324C] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] [01021DAD] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA] [01021E80] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] [01021DAD] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegCreateKeyExA] [0102308A] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegOpenKeyExA] [0102324C] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegCloseKey] [01023004] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegOpenKeyExW] [01023337] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\Secur32.dll [ADVAPI32.dll!RegCreateKeyExW] [01023184] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\Secur32.dll [ADVAPI32.dll!RegCloseKey] [01023004] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\Secur32.dll [ADVAPI32.dll!RegOpenKeyExW] [01023337] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] [01021DAD] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [01021DAD] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegCloseKey] [01023004] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegOpenKeyExW] [01023337] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegCreateKeyExA] [0102308A] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegCreateKeyExW] [01023184] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegOpenKeyExA] [0102324C] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA] [01021E80] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [01021DAD] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegOpenKeyExA] [0102324C] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegCreateKeyExW] [01023184] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegCloseKey] [01023004] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegOpenKeyExW] [01023337] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegOpenUserClassesRoot] [01022A01] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [01021DAD] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA] [01021E80] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\WININET.dll [ADVAPI32.dll!RegCreateKeyExW] [01023184] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\WININET.dll [ADVAPI32.dll!RegOpenKeyExW] [01023337] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\WININET.dll [ADVAPI32.dll!RegCreateKeyExA] [0102308A] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\WININET.dll [ADVAPI32.dll!RegOpenKeyExA] [0102324C] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\WININET.dll [ADVAPI32.dll!RegCloseKey] [01023004] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW] [01021DAD] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\NETAPI32.dll [ADVAPI32.dll!RegOpenKeyExA] [0102324C] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\NETAPI32.dll [ADVAPI32.dll!RegCreateKeyExW] [01023184] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\NETAPI32.dll [ADVAPI32.dll!RegOpenKeyExW] [01023337] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\NETAPI32.dll [ADVAPI32.dll!RegCloseKey] [01023004] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\USERENV.dll [ADVAPI32.dll!RegCreateKeyExW] [01023184] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\USERENV.dll [ADVAPI32.dll!RegCloseKey] [01023004] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\USERENV.dll [ADVAPI32.dll!RegOpenKeyExW] [01023337] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!LoadLibraryW] [01021ED9] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!LoadLibraryExA] [01021E80] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA] [01021EF3] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SAMLIB.dll [ADVAPI32.dll!RegCreateKeyExA] [0102308A] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SAMLIB.dll [ADVAPI32.dll!RegOpenKeyExW] [01023337] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SAMLIB.dll [ADVAPI32.dll!RegCloseKey] [01023004] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe[1228] @ C:\WINDOWS\system32\SAMLIB.dll [ADVAPI32.dll!RegOpenKeyExA] [0102324C] C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe (incdsrv/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] [01015C0A] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW] [01015D36] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegCreateKeyExA] [0101736C] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegOpenKeyExA] [0101752E] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegCloseKey] [010172E6] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegOpenKeyExW] [01017619] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW] [01015D36] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\Secur32.dll [ADVAPI32.dll!RegCreateKeyExW] [01017466] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\Secur32.dll [ADVAPI32.dll!RegCloseKey] [010172E6] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\Secur32.dll [ADVAPI32.dll!RegOpenKeyExW] [01017619] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW] [01015D36] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] [01015C0A] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW] [01015D36] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [01015C0A] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW] [01015D36] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegCloseKey] [010172E6] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegOpenKeyExW] [01017619] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
|
|
28.07.2009, 02:15
| #3 |
| | TR/Crypt.Redol eingefangen? Und hier Teil 2 des Gmer-Logs.
__________________Code:
ATTFilter IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegCreateKeyExA] [0101736C] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegCreateKeyExW] [01017466] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegOpenKeyExA] [0101752E] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA] [01015CDD] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [01015C0A] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [01015D36] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegCloseKey] [010172E6] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegCreateKeyExW] [01017466] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegOpenKeyExW] [01017619] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegOpenKeyExA] [0101752E] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW] [01015D36] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] [01015C0A] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA] [01015CDD] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegOpenKeyExA] [0101752E] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegCreateKeyExW] [01017466] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegCloseKey] [010172E6] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegOpenKeyExW] [01017619] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegOpenUserClassesRoot] [0101715C] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW] [01015D36] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [01015C0A] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA] [01015CDD] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\NBHGui.exe[1576] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA] [01015D50] C:\Programme\Nero\Nero 9\InCD\NBHGui.exe (Nero SecurDisc Host/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] [0102E052] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW] [0102E17E] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegCreateKeyExA] [0102F78B] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegOpenKeyExA] [0102F94D] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegCloseKey] [0102F705] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\RPCRT4.dll [ADVAPI32.dll!RegOpenKeyExW] [0102FA38] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW] [0102E17E] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\Secur32.dll [ADVAPI32.dll!RegCreateKeyExW] [0102F885] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\Secur32.dll [ADVAPI32.dll!RegCloseKey] [0102F705] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\Secur32.dll [ADVAPI32.dll!RegOpenKeyExW] [0102FA38] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW] [0102E17E] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] [0102E052] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW] [0102E17E] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [0102E052] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW] [0102E17E] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegCloseKey] [0102F705] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegOpenKeyExW] [0102FA38] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegCreateKeyExA] [0102F78B] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegCreateKeyExW] [0102F885] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHLWAPI.dll [ADVAPI32.dll!RegOpenKeyExA] [0102F94D] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA] [0102E125] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [0102E052] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [0102E17E] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegOpenKeyExA] [0102F94D] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegCreateKeyExW] [0102F885] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegCloseKey] [0102F705] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegOpenKeyExW] [0102FA38] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegOpenUserClassesRoot] [0102F57B] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW] [0102E17E] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [0102E052] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA] [0102E125] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegCloseKey] [0102F705] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegCreateKeyExW] [0102F885] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegOpenKeyExW] [0102FA38] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHELL32.dll [ADVAPI32.dll!RegOpenKeyExA] [0102F94D] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW] [0102E17E] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] [0102E052] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA] [0102E125] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
IAT C:\Programme\Nero\Nero 9\InCD\InCD.exe[1664] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA] [0102E198] C:\Programme\Nero\Nero 9\InCD\InCD.exe (InCD/Nero AG)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat InCDRec.sys (Nero InCD File System Recognizer/Nero AG)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x5C 0xF3 0xC0 0x1A ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x45 0x00 0xAD 0xCF ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x5A 0xEC 0x80 0x14 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x9B 0x17 0x21 0xCC ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0x08 0x5B 0x47 0x04 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x5C 0xF3 0xC0 0x1A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x45 0x00 0xAD 0xCF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x5A 0xEC 0x80 0x14 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x9B 0x17 0x21 0xCC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0xAB 0x21 0x25 0x7D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x51 0x94 0x7E 0xEF ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x51 0x94 0x7E 0xEF ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 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
---- EOF - GMER 1.0.15 ----
|
|
28.07.2009, 02:17
| #4 |
| | TR/Crypt.Redol eingefangen? Nun das HiijackThis Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:00:42, on 28.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\XFMC\XFiMode.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Cyberlink\Shared Files\brs.exe C:\Programme\Creative\Volume Panel\VolPanlu.exe C:\WINDOWS\system32\CTXFIHLP.EXE C:\Programme\abit\abit uGuru\AirPaceWifi.exe C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Nero\Nero 9\InCD\NBHGui.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Nero\Nero 9\InCD\InCD.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Creative\Shared Files\CTAudSvc.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Program Files\FreeWheel\FreeWheel.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Nero\Nero 9\InCD\NBHRegInCDSrv.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [XFMC] c:\Programme\XFMC\XFiMode.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NBHGui] "C:\Programme\Nero\Nero 9\InCD\NBHGui.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [InCD] "C:\Programme\Nero\Nero 9\InCD\InCD.exe" O4 - HKLM\..\Run: [NeroRebootSetup] "C:\Dokumente und Einstellungen\Jogy\Lokale Einstellungen\Temp\nro.tmp\SetupX.exe" SC -Reboot PIINSTALLTYPE="0" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FreeWheel.lnk = C:\Program Files\FreeWheel\FreeWheel.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1196804969734 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15106/CTPID.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InCD Helper (InCDSrv) - Nero AG - C:\Programme\Nero\Nero 9\InCD\InCDSrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Programme\Nero\Nero 9\InCD\NBHRegInCDSrv.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe -- End of file - 10573 bytes |
|
28.07.2009, 02:18
| #5 |
| | TR/Crypt.Redol eingefangen? Und zuletzt noch das Bootlog: Code:
ATTFilter ˛Treiber geladen \SystemRoot\system32\CTHWIUT.DLL
Service Pack 3 7 28 2009 00:11:07.375
Treiber geladen \WINDOWS\system32\ntkrnlpa.exe
Treiber geladen \WINDOWS\system32\hal.dll
Treiber geladen \WINDOWS\system32\KDCOM.DLL
Treiber geladen \WINDOWS\system32\BOOTVID.dll
Treiber geladen ACPI.sys
Treiber geladen \WINDOWS\system32\DRIVERS\WMILIB.SYS
Treiber geladen pci.sys
Treiber geladen ohci1394.sys
Treiber geladen \WINDOWS\system32\DRIVERS\1394BUS.SYS
Treiber geladen isapnp.sys
Treiber geladen pciide.sys
Treiber geladen \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Treiber geladen MountMgr.sys
Treiber geladen ftdisk.sys
Treiber geladen dmload.sys
Treiber geladen dmio.sys
Treiber geladen PartMgr.sys
Treiber geladen VolSnap.sys
Treiber geladen atapi.sys
Treiber geladen disk.sys
Treiber geladen \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Treiber geladen fltmgr.sys
Treiber geladen PxHelp20.sys
Treiber geladen KSecDD.sys
Treiber geladen Ntfs.sys
Treiber geladen NDIS.sys
Treiber geladen timntr.sys
Treiber geladen snapman.sys
Treiber geladen Mup.sys
Treiber geladen \SystemRoot\system32\DRIVERS\nic1394.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ATITool.sys
Treiber geladen \SystemRoot\system32\DRIVERS\intelppm.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ati2mtag.sys
Treiber geladen \SystemRoot\system32\DRIVERS\usbuhci.sys
Treiber geladen \SystemRoot\system32\DRIVERS\usbehci.sys
Treiber geladen \SystemRoot\system32\DRIVERS\aw5006.sys
Treiber geladen \SystemRoot\system32\drivers\pfc.sys
Treiber geladen \SystemRoot\system32\DRIVERS\cdrom.sys
Treiber geladen \SystemRoot\system32\DRIVERS\redbook.sys
Treiber geladen \SystemRoot\system32\DRIVERS\InCDPass.sys
Treiber geladen \SystemRoot\system32\drivers\ctoss2k.sys
Treiber geladen \SystemRoot\system32\drivers\ctprxy2k.sys
Treiber geladen \SystemRoot\system32\drivers\ctaud2k.sys
Treiber geladen \SystemRoot\system32\DRIVERS\serial.sys
Treiber geladen \SystemRoot\system32\DRIVERS\serenum.sys
Treiber geladen \SystemRoot\system32\DRIVERS\fdc.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ASACPI.sys
Treiber geladen \SystemRoot\system32\DRIVERS\i8042prt.sys
Treiber geladen \SystemRoot\system32\DRIVERS\L8042Kbd.sys
Treiber geladen \SystemRoot\system32\DRIVERS\kbdclass.sys
Treiber geladen \SystemRoot\system32\DRIVERS\imapi.sys
Treiber geladen \SystemRoot\system32\DRIVERS\dne2000.sys
Treiber geladen \SystemRoot\system32\DRIVERS\audstub.sys
Treiber geladen \SystemRoot\system32\DRIVERS\rasl2tp.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ndistapi.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ndiswan.sys
Treiber geladen \SystemRoot\system32\DRIVERS\raspppoe.sys
Treiber geladen \SystemRoot\system32\DRIVERS\raspptp.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ptilink.sys
Treiber geladen \SystemRoot\system32\DRIVERS\raspti.sys
Treiber geladen \SystemRoot\system32\DRIVERS\rdpdr.sys
Treiber geladen \SystemRoot\system32\DRIVERS\termdd.sys
Treiber geladen \SystemRoot\system32\DRIVERS\mouclass.sys
Treiber geladen \SystemRoot\system32\DRIVERS\swenum.sys
Treiber geladen \SystemRoot\system32\DRIVERS\update.sys
Treiber geladen \SystemRoot\system32\DRIVERS\mssmbios.sys
Treiber geladen \SystemRoot\System32\Drivers\NDProxy.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\NDProxy.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\usbhub.sys
Treiber geladen \SystemRoot\system32\drivers\ha20x2k.sys
Treiber geladen \SystemRoot\system32\drivers\emupia2k.sys
Treiber geladen \SystemRoot\system32\drivers\ctsfm2k.sys
Treiber geladen \SystemRoot\system32\drivers\ctac32k.sys
Treiber geladen \SystemRoot\system32\CTHWIUT.DLL
Treiber geladen \SystemRoot\system32\CT20XUT.DLL
Treiber geladen \SystemRoot\system32\CTEXFIFX.DLL
Treiber geladen \SystemRoot\system32\DRIVERS\flpydisk.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\lbrtfdc.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Sfloppy.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\i2omgmt.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\InCDFs.sys
Treiber geladen \SystemRoot\system32\DRIVERS\InCDRec.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Cdaudio.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Changer.SYS
Treiber geladen \SystemRoot\System32\Drivers\Fs_Rec.SYS
Treiber geladen \SystemRoot\System32\Drivers\Null.SYS
Treiber geladen \SystemRoot\System32\Drivers\Beep.SYS
Treiber geladen \SystemRoot\System32\drivers\vga.sys
Treiber geladen \SystemRoot\System32\Drivers\mnmdd.SYS
Treiber geladen \SystemRoot\System32\DRIVERS\RDPCDD.sys
Treiber geladen \SystemRoot\System32\Drivers\Msfs.SYS
Treiber geladen \SystemRoot\System32\Drivers\Npfs.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\rasacd.sys
Treiber geladen \SystemRoot\system32\DRIVERS\msgpc.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ipsec.sys
Treiber geladen \SystemRoot\system32\DRIVERS\tcpip.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ipnat.sys
Treiber geladen \SystemRoot\System32\Drivers\aswTdi.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\wanarp.sys
Treiber geladen \SystemRoot\system32\DRIVERS\arp1394.sys
Treiber geladen \SystemRoot\system32\DRIVERS\netbt.sys
Treiber geladen \SystemRoot\System32\drivers\afd.sys
Treiber geladen \SystemRoot\system32\DRIVERS\netbios.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\PCIDump.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\rdbss.sys
Treiber geladen \SystemRoot\System32\Drivers\PQNTDrv.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\mrxsmb.sys
Treiber geladen \SystemRoot\System32\Drivers\Fips.SYS
Treiber geladen \SystemRoot\System32\Drivers\aswSP.SYS
Treiber geladen \SystemRoot\system32\drivers\AsIO.sys
Treiber geladen \SystemRoot\System32\Drivers\Aavmker4.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\Wdf01000.sys
Treiber geladen \SystemRoot\System32\Drivers\LUsbFilt.Sys
Treiber geladen \SystemRoot\system32\DRIVERS\hidusb.sys
Treiber geladen \SystemRoot\system32\DRIVERS\LHidFilt.Sys
Treiber geladen \SystemRoot\system32\DRIVERS\mouhid.sys
Treiber geladen \SystemRoot\system32\DRIVERS\LMouFilt.Sys
Treiber geladen \SystemRoot\System32\Drivers\Cdfs.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\usbscan.sys
Treiber geladen \SystemRoot\system32\DRIVERS\USBSTOR.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\atinavt2.sys
Treiber geladen \SystemRoot\system32\DRIVERS\aswFsBlk.sys
Treiber geladen \SystemRoot\system32\DRIVERS\tifsfilt.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ndisuio.sys
Treiber geladen \SystemRoot\System32\Drivers\aswMon2.SYS
Treiber geladen \SystemRoot\System32\Drivers\Fastfat.SYS
Treiber geladen \SystemRoot\system32\drivers\sysaudio.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\rdbss.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\mrxsmb.sys
Treiber geladen \SystemRoot\system32\drivers\splitter.sys
Treiber geladen \SystemRoot\system32\drivers\aec.sys
Treiber geladen \SystemRoot\system32\drivers\swmidi.sys
Treiber geladen \SystemRoot\system32\drivers\DMusic.sys
Treiber geladen \SystemRoot\system32\drivers\kmixer.sys
Treiber geladen \SystemRoot\system32\drivers\drmkaud.sys
Treiber geladen \SystemRoot\system32\drivers\wdmaud.sys
Treiber geladen \SystemRoot\system32\DRIVERS\mrxdav.sys
Treiber geladen \SystemRoot\system32\CTHWIUT.DLL
Treiber geladen \SystemRoot\system32\CTHWIUT.DLL
Treiber geladen \SystemRoot\system32\CTHWIUT.DLL
Treiber geladen \SystemRoot\system32\CTHWIUT.DLL
Treiber geladen \SystemRoot\system32\CTHWIUT.DLL
Treiber geladen \SystemRoot\system32\CTHWIUT.DLL
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Parport.SYS
Treiber geladen \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
Der Treiber wurde nicht geladen \??\C:\Programme\Softwin\BitDefender8\filespy.sys
Treiber geladen \SystemRoot\system32\DRIVERS\srv.sys
Der Treiber wurde nicht geladen \??\C:\Programme\Softwin\BitDefender8\regspy.sys
Der Treiber wurde nicht geladen \??\C:\WINDOWS\system32\Drivers\SSPORT.sys
Treiber geladen \??\C:\Programme\CyberLink\PowerDVD\000.fcl
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\ipnat.sys
Treiber geladen \SystemRoot\System32\Drivers\TDTCP.SYS
Treiber geladen \SystemRoot\System32\Drivers\RDPWD.SYS
Treiber geladen \SystemRoot\System32\Drivers\aswRdr.SYS
Treiber geladen \??\C:\DOKUME~1\Jogy\LOKALE~1\Temp\aujasnkj.sys
|
|
28.07.2009, 07:29
| #6 |
| | TR/Crypt.Redol eingefangen? So, AntiMalware ist auch durch, bis auf zwei Files im divX Programmordner der Sicherung einer alten Installation (seit ca. 2 Jahren nicht mehr aktiv, ist auf laufwerk D). Handelt sich jeweils um die pS2Xx.ddc, wird als Backdoor.Bot gemeldet. Dürfte aber ein false positive sein, die wurde früher nie gemeldet und wenn ich so bei Google schaue, dann sind alle Meldungen aus den letzten Tagen und ausschließlich von AntiMalware. Ich lade die heute abend mal bei Virustotal hoch, ging heute morgen wegen Serverüberlastung nicht. Ein Gegencheck mit Avast war zumindest mal negativ und in Nutzung sind die Files ja auch nicht mehr (kann ich eigentlich sowieso löschen). Und bei meinen ganzen Scans in den letzten Tagen war die ja auch immer drauf, ohne erkannt zu werden. Gruss, Jogy Geändert von JogyB (28.07.2009 um 08:14 Uhr) Grund: nochmal nachgeschaut |
|
28.07.2009, 20:47
| #7 |
| | TR/Crypt.Redol eingefangen? Habe grade noch mit RootRepeal gescanned und sieht auch sauber aus. Datei ist angehängt, kann den Inhalt hier nicht reinkopieren... löscht immer alles bis auf das erste Zeichen, wenn ich auf Vorschau gehe - vielleicht irgendein Zeichensatzproblem mit dem Mac. Gruss, Jogy |
|
31.07.2009, 09:14
| #8 |
| | TR/Crypt.Redol eingefangen? Sorry, ich möchte wirklich nicht nerven, aber es ist etwas deprimierend wenn quasi jeder noch so hingeschluderte Hilfeaufruf recht schnell eine Reaktion hervorruft, bei mir aber 3 Tage lang nichts kommt, obwohl ich mir die Mühe gemacht habe, den Einstieg für einen Helfer so einfach wie möglich zu machen und schon mal die ganzen Logs zu präsentieren. Mir ist klar, Ihr macht das alles freiwillig (mache ich bei anderen Themen auch) und ich will deswegen niemanden drängen. Nur wenn es irgendeinen Grund gibt, warum ihr nicht helfen könnt oder wollt, dann sagt den mir bitte und ich versuche mein Glück woanders. Ich erwarte hier auch keine 100%ige Sicherheit, die gibt es nie. Mir wäre nur die Einschätzung eines Experten wichtig, da ich das ganze Thema Malware sträflich vernachlässigt habe und diesen Rückstand nicht in ein paar Tagen aufholen kann. Danke und Gruss, Jogy |
|
| Themen zu TR/Crypt.Redol eingefangen? |
| ahnungslos, alert, antivir, avast, avira rescue, avira rescue cd, browser, dsl, e-banking, ebay, email, fehler, festplatte, firefox, geld, hijack, hijackthis, hijackthis log, infizierte, installation, kaspersky, nach start, netzwerkverkehr, nicht gefunden, nicht sicher, online armor, parallels, prozess, prozesse, rescue cd, seriennummer, services.exe, sicherheitshalber, starmoney, stimme, system, temp-ordner, temporäre dateien, tr/crypt.zpack, trojaner, verschlüsselungen, version., viren, virus, virustotal.com, windows, wiso |
Linear-Darstellung
