| |
| |||||||
Log-Analyse und Auswertung: Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & RsitWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
22.01.2010, 14:51
| #1 |
| |  Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hallo zusammen, ich habe mir leider unter anderem den rootkit.win32.agent.pp eingefangen. Es öffnet sich die ganze Zeit ein Pop-up Fenster, das einen auffordert eine Software zu kaufen. Der Rechner läuft auch sehr, sehr langsam. Ich habe als erstes einen Vollscan mit Malwarebytes Anti-Malware durchlaufen lassen. Dieser konnte einige Biester finden. Doch leider ohne Erfolg, die Symptome waren immer noch da. Habe dann einen Vollscan mit Spyware Doctor durchlaufen lassen. Dieser wurde weiter fündig und ich konnte wohl die restlichen Biester entfernen. Der Rechner scheint auf den ersten Eindruck nun wieder normal zu laufen. Ich habe jetzt noch, wie hier im Forum beschrieben, die drei folgenden Schritte durchgeführt und möchte die Reports hier nun posten, um ganz sicher gehen zu können: Vielen Dank vorab für eure Hilfe! 1. CC Cleaner 2. Vollscan mit Malwarebytes Malware: Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3449 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 22.01.2010 14:30:52 mbam-log-2010-01-22 (14-30-52).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 164969 Laufzeit: 1 hour(s), 20 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) 3. Rsit: Info: info.txt logfile of random's system information tool 1.06 2010-01-22 14:36:56 ======Uninstall list====== -->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu -->C:\WINDOWS\system32\\MSIEXEC.EXE /x {075473F5-846A-448B-BCB3-104AA1760205} -->C:\WINDOWS\system32\\MSIEXEC.EXE /x {1206EF92-2E83-4859-ACCB-2048C3CB7DA6} -->C:\WINDOWS\system32\\MSIEXEC.EXE /x {AB708C9B-97C8-4AC9-899B-DBF226AC9382} -->C:\WINDOWS\system32\\MSIEXEC.EXE /x {B12665F4-4E93-4AB4-B7FC-37053B524629} -->MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095} -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23EFDB58-0874-4883-9810-EDA510B19FAE}\setup.exe" -l0x9 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BB79C8D-9DCC-4861-8A23-AE1B0B45E2B6}\setup.exe" -l0x9 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{775FFF70-4A8C-4500-908D-3C34DBEB11D5}\setup.exe" -l0x9 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{83021AC3-086F-4B77-ACCD-1BD7C9AB211E}\setup.exe" -l0x9 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B14F9B26-D695-4C4A-8B11-0FE6CDCC797B}\setup.exe" -l0x9 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E213C271-AEFA-481D-A9B4-914D88925B8D}\setup.exe" -l0x9 -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Acrobat - Reader 6.0.2 Update-->MsiExec.exe /I{AC76BA86-0000-0000-0000-6028747ADE01} Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 6.0.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A00000000001} Anti-Malware Toolkit 1.12.215-->"C:\Programme\Lunarsoft\Anti-Malware Toolkit\unins000.exe" ARTEuro-->MsiExec.exe /I{1D3C662A-F6C6-4767-A788-7AA43A9A1317} Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE AVM FRITZ!DSL-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\FRITZ!DSL\WebUnins.isu -cC:\Programme\FRITZ!DSL\Webunins.dll AVM FRITZ!WLAN-->C:\Programme\avmwlanstick\instwcli.exe -d1 Browser Defender 2.0.6.11-->"C:\Programme\Spyware Doctor\BDT\unins000.exe" CCleaner-->"C:\Programme\CCleaner\uninst.exe" Dell Driver Reset Tool-->MsiExec.exe /I{5905F42D-3F5F-4916-ADA6-94A3646AEE76} Dell Media Experience-->MsiExec.exe /I{AC0EE5B0-A8FB-4D0A-AF03-2EDC518F841B} Dell Picture Studio v3.0-->MsiExec.exe /I{AF06CAE4-C134-44B1-B699-14FBDB63BD37} EPSON CardMonitor-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109D28C7-FB38-483A-9C91-001CB59E2699}\SETUP.EXE" -l0x7 uninst EPSON Copy Utility 3-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\Setup.exe" -l0x7 -UnInstall EPSON PhotoQuicker3.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{65F5B7AF-3363-11D7-BB6B-00018021113F}\SETUP.EXE" -l0x7 uninst EPSON PhotoStarter3.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C48817E7-AA05-4151-A99D-1E1E550CE801}\SETUP.EXE" -l0x7 uninst EPSON PRINT Image Framer Tool2.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23B59ED4-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x7 anything EPSON Scan-->C:\Programme\epson\escndv\setup\setup.exe /r EPSON Smart Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6C11D561-620B-47DA-A693-4C597F3CDF40}\SETUP.EXE" -l0x7 Uninstall EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x7 -anything EPSON-Drucker-Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R ESCX6600 Referenzhandbuch-->C:\Programme\EPSON\TPMANUAL\ESCX6600\REF_G\DOCUNINS.EXE ESCX6600 Softwarehandbuch-->C:\Programme\EPSON\TPMANUAL\ESCX6600\PQU_G\DOCUNINS.EXE FRITZ!Box-->C:\Programme\FRITZ!Box\install.exe -d GIMP 2.4.7-->"C:\Programme\GIMP-2.0\setup\unins000.exe" Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_0E996B068B56FCA2.exe" /uninstall Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C} Haufe iDesk-Browser-->MsiExec.exe /X{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523} Haufe iDesk-Service-->MsiExec.exe /X{A4E86B6A-6EEC-41FD-8960-26947F0E3353} HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe" Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" Intel(R) Extreme Graphics 2 Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2572 Intel(R) PRO Network Adapters and Drivers-->Prounstl.exe Intel(R) PROSet for Wired Connections-->MsiExec.exe /I{17334AAF-C9E7-483B-9F45-E3FCAF07FFA7} Jasc Paint Shop Photo Album 5-->MsiExec.exe /I{4192EAC0-6B36-4723-B216-D0E86E7757AC} Jasc Paint Shop Pro Studio, Dell Editon-->MsiExec.exe /I{78C496B9-5A6B-4692-8C2E-AFFFC34E4961} Java 2 Runtime Environment, SE v1.4.2_03-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142030} Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Malware Removal Tool-->"C:\Programme\Malware Removal Tool\unins000.exe" Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Malwarebytes' RogueRemover PRO-->"C:\Programme\RogueRemover PRO\unins000.exe" Malwarebytes' RogueRemover-->"C:\Programme\RogueRemover FREE\unins000.exe" McAfee SecurityCenter-->C:\Programme\McAfee\MSC\mcuninst.exe Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4} Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft ActiveSync 3.8-->"C:\WINDOWS\ISUN0407.EXE" -f"C:\Programme\Microsoft ActiveSync\DeIsL1.isu" -c"C:\Programme\Microsoft ActiveSync\ceuninst.dll" Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office Small Business Edition 2003-->MsiExec.exe /I{91CA0407-6000-11D3-8CFE-0150048383C9} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.5.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} PIF DESIGNER2.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7BD0A2D8-4EA0-43C6-BDF8-DDA87B8031C6}\SETUP.EXE" -l0x7 anything PowerDVD 5.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall Samsung Digital Camera-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8B79684C-6DAC-438C-8F30-10DF65C2068F}\Setup.exe" Samsung Master-->C:\Programme\InstallShield Installation Information\{AEC0CEBC-0FC7-4716-8222-1C4A742719B1}\Setup.exe -runfromtemp -l0x0007 -removeonly ScanToWeb-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}\SETUP.EXE" ADDREMOVEDLG Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe" Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB974455)-->"C:\WINDOWS\ie7updates\KB974455-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB976325)-->"C:\WINDOWS\ie7updates\KB976325-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" Sonic DLA-->MsiExec.exe /I{1206EF92-2E83-4859-ACCB-2048C3CB7DA6} Sonic RecordNow Audio-->MsiExec.exe /I{AB708C9B-97C8-4AC9-899B-DBF226AC9382} Sonic RecordNow Copy-->MsiExec.exe /I{B12665F4-4E93-4AB4-B7FC-37053B524629} Sonic RecordNow Data-->MsiExec.exe /I{075473F5-846A-448B-BCB3-104AA1760205} Sonic Update Manager-->MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E} Spyware Doctor 7.0-->C:\Programme\Spyware Doctor\unins000.exe /LOG Städteverbindungen Winter 2006-07-->C:\PROGRAMME\DB.W06\uninst32.exe Steuer-Spar-Erklärung 2008-->MsiExec.exe /I{BBE67B86-FCD7-4D3C-8B00-063DEAD8E30C} T-Online Installationsdateien-->MsiExec.exe /X{D460F2F5-645E-489F-AB9A-DEB24C47C2B5} Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update für Windows Internet Explorer 7 (KB976749)-->"C:\WINDOWS\ie7updates\KB976749-IE7\spuninst\spuninst.exe" Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe" Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" ======Hosts File====== 0.0.0.0 123spywar.com 0.0.0.0 www.123spywar.com 0.0.0.0 1clickspyclean.com 0.0.0.0 www.1clickspyclean.com 0.0.0.0 1clicksuite.net 0.0.0.0 www.1clicksuite.net 0.0.0.0 1spyware-removal.com 0.0.0.0 www.1spyware-removal.com 0.0.0.0 1spywarekiller.com 0.0.0.0 www.1spywarekiller.com ======Security center information====== AV: AntiMalware (outdated) AV: AntiVir Desktop (outdated) AV: McAfee VirusScan FW: McAfee Personal Firewall ======System event log====== Computer Name: HEISSESGERÄT Event Code: 7036 Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet". Record Number: 39967 Source Name: Service Control Manager Time Written: 20091030194626.000000+060 Event Type: Informationen User: Computer Name: HEISSESGERÄT Event Code: 7036 Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet". Record Number: 39966 Source Name: Service Control Manager Time Written: 20091030194531.000000+060 Event Type: Informationen User: Computer Name: HEISSESGERÄT Event Code: 7036 Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Ausgeführt". Record Number: 39965 Source Name: Service Control Manager Time Written: 20091030194526.000000+060 Event Type: Informationen User: Computer Name: HEISSESGERÄT Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Google Software Updater" gesendet. Record Number: 39964 Source Name: Service Control Manager Time Written: 20091030194526.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: HEISSESGERÄT Event Code: 7036 Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt". Record Number: 39963 Source Name: Service Control Manager Time Written: 20091030194526.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: HEISSESGERÄT Event Code: 32026 Message: Fehler beim Initialisieren der zugewiesenen Faxgeräte (virtuell oder TAPI) durch den Faxdienst. Es können keine Faxe gesendet werden, bis ein Faxgerät installiert ist. Record Number: 10314 Source Name: Microsoft Fax Time Written: 20090104174647.000000+060 Event Type: Warnung User: Computer Name: HEISSESGERÄT Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 10313 Source Name: SecurityCenter Time Written: 20090104174647.000000+060 Event Type: Informationen User: Computer Name: HEISSESGERÄT Event Code: 0 Message: Record Number: 10312 Source Name: McAfee SiteAdvisor Service Time Written: 20090104174639.000000+060 Event Type: Informationen User: Computer Name: HEISSESGERÄT Event Code: 5000 Message: McShield-Dienst gestartet. Modulversion: 5300.2777 DAT-Version: 5483.0000 Anzahl an Signaturen in EXTRA.DAT: None Namen der Bedrohungen, die EXTRA.DAT entdecken kann: None Record Number: 10311 Source Name: McLogEvent Time Written: 20090104104242.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: HEISSESGERÄT Event Code: 7 Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>. Record Number: 10310 Source Name: crypt32 Time Written: 20090104103620.000000+060 Event Type: Informationen User: =====Security event log===== Computer Name: HEISSESGERÄT Event Code: 551 Message: Benutzerinitiierte Abmeldung: Benutzername: xxx Domäne: HEISSESGERÄT Anmeldekennung: (0x0,0x11985) Record Number: 96691 Source Name: Security Time Written: 20091210164233.000000+060 Event Type: Überwachung erfolgreich User: HEISSESGERÄT\xxx Computer Name: HEISSESGERÄT Event Code: 576 Message: Besondere Rechte bei neuer Anmeldung: Benutzername: NETZWERKDIENST Domäne: NT-AUTORITÄT Anmeldekennung: (0x0,0x3E4) Berechtigungen: SeAuditPrivilege SeAssignPrimaryTokenPrivilege SeChangeNotifyPrivilege Record Number: 96690 Source Name: Security Time Written: 20091210143052.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\NETZWERKDIENST Computer Name: HEISSESGERÄT Event Code: 528 Message: Erfolgreiche Anmeldung: Benutzername: NETZWERKDIENST Domäne: NT-AUTORITÄT Anmeldekennung: (0x0,0x3E4) Anmeldetyp: 5 Anmeldevorgang: Advapi Authentifizierungspaket: Negotiate Name der Arbeitsstation: Anmelde-GUID: - Record Number: 96689 Source Name: Security Time Written: 20091210143052.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\NETZWERKDIENST Computer Name: HEISSESGERÄT Event Code: 850 Message: Ein Port war als Ausnahme aufgelistet, als der Windows-Firewall gestartet wurde. Richtlinienursprung: Lokale Richtlinie Verwendetes Profil: Standard Schnittstelle: Alle Schnittstellen Name: Remotedesktop Portnummer: 3389 Protokoll: TCP Status: Deaktiviert Bereich: Alle Subnetze Record Number: 96688 Source Name: Security Time Written: 20091210142026.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\SYSTEM Computer Name: HEISSESGERÄT Event Code: 850 Message: Ein Port war als Ausnahme aufgelistet, als der Windows-Firewall gestartet wurde. Richtlinienursprung: Lokale Richtlinie Verwendetes Profil: Standard Schnittstelle: Alle Schnittstellen Name: UPnP-Framework über TCP Portnummer: 2869 Protokoll: TCP Status: Deaktiviert Bereich: Nur lokales Subnetz Record Number: 96687 Source Name: Security Time Written: 20091210142026.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\SYSTEM ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Microsoft SQL Server\80\Tools\Binn\;C:\Programme\Haufe\iDesk\iDeskService\ "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel "PROCESSOR_REVISION"=0401 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "SonicCentral"=C:\Programme\Gemeinsame Dateien\Sonic Shared\Sonic Central\ -----------------EOF----------------- Log: Logfile of random's system information tool 1.06 (written by random/random) Run by xxx at 2010-01-22 14:36:03 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 56 GB (77%) free of 73 GB Total RAM: 2046 MB (62% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:36:49, on 22.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16945) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Dell\Media Experience\DMXLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Gemeinsame Dateien\AAV\aavus.exe C:\Programme\McAfee.com\Agent\mcagent.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\McAfee\SiteAdvisor\McSACore.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe C:\Programme\McAfee\VirusScan\McShield.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\McAfee\MSK\MskSrver.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\Programme\Java\jre6\bin\jucheck.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Dokumente und Einstellungen\xxx\Desktop\RSIT.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\trend micro\xxx.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://download.mcafee.com/molbin/Shared/ComCtl32/6,0,80,22/ComCtl32.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Programme\McAfee\SiteAdvisor\McSACore.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan\McShield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 11954 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\ISP-Anmeldungserinnerung 1.job C:\WINDOWS\tasks\McDefragTask.job C:\WINDOWS\tasks\McQcTask.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-11-03 54248] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}] McAfee Phishing Filter - c:\PROGRA~1\mcafee\msk\mskapbho.dll [2009-07-08 246800] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A0F3D1B-0909-4FF4-B272-609CCE6054E7}] PC Tools Browser Guard BHO - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll [2009-11-10 395216] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}] DriveLetterAccess - C:\WINDOWS\system32\dla\tfswshx.dll [2004-12-06 118842] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2008-12-17 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}] scriptproxy - C:\Programme\McAfee\VirusScan\scriptsn.dll [2009-09-16 62784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-11-27 263280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll [2009-11-28 764912] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}] McAfee SiteAdvisor BHO - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-11-23 204048] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2008-12-17 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2008-12-17 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}] EpsonToolBandKicker Class - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2004-02-10 339968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2004-02-10 339968] {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - McAfee SiteAdvisor Toolbar - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-11-23 204048] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-11-27 263280] {472734EA-242A-422B-ADF8-83D1E48CC825} - PC Tools Browser Guard - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll [2009-11-10 395216] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2004-10-14 1404928] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2008-12-17 136600] "DVDLauncher"=C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe [2005-02-23 53248] "DMXLauncher"=C:\Programme\Dell\Media Experience\DMXLauncher.exe [2005-01-27 86016] "dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2004-12-06 127035] "ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [2004-07-27 221184] "ISUSScheduler"=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2004-07-27 81920] "EPSON Stylus CX6600 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE [2004-03-01 98304] "AVMWlanClient"=C:\Programme\avmwlanstick\wlangui.exe [2005-05-13 1800408] "igfxtray"=C:\WINDOWS\system32\igfxtray.exe [2005-09-20 94208] "igfxhkcmd"=C:\WINDOWS\system32\hkcmd.exe [2005-09-20 77824] "igfxpers"=C:\WINDOWS\system32\igfxpers.exe [2005-09-20 114688] "mcagent_exe"=C:\Programme\McAfee.com\Agent\mcagent.exe [2009-10-29 1218008] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "ISTray"=C:\Programme\Spyware Doctor\pctsTray.exe [2009-11-18 1243088] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232] "H/PC Connection Agent"=C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE [2005-01-04 405583] "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-05-28 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\WINDOWS\system32\igfxdev.dll [2005-09-20 135168] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mcmscsvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MCODS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MpfService] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=91000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\FRITZ!DSL\IGDCTRL.EXE"="C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe" "C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:*:Enabled:ActiveSync Connection Manager" "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"="C:\Programme\Microsoft ActiveSync\WCESMgr.exe:*:Enabled:ActiveSync Application" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Google\Google Talk\googletalk.exe"="C:\Programme\Google\Google Talk\googletalk.exe:*:Enabled:Google Talk" "C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\ImInstaller\incredimail_installer.exe"="C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\ImInstaller\incredimail_installer.exe:*:Enabled:IncrediMail Installer" "C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe"="C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af8b80b4-7527-11dd-bbb9-00040ec06391}] shell\AutoRun\command - E:\setupSNK.exe ======List of files/folders created in the last 1 months====== 2010-01-22 14:36:04 ----D---- C:\Programme\trend micro 2010-01-22 14:36:03 ----D---- C:\rsit 2010-01-15 18:13:40 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$ 2010-01-15 18:11:42 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$ 2009-12-29 15:47:30 ----D---- C:\Programme\Avira 2009-12-29 15:47:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-12-29 14:05:55 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla 2009-12-29 13:22:57 ----D---- C:\Programme\Spybot - Search & Destroy 2009-12-29 13:22:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-12-29 13:19:06 ----D---- C:\Programme\Malware Removal Tool 2009-12-29 13:17:50 ----D---- C:\Programme\RogueRemover FREE 2009-12-29 13:16:37 ----D---- C:\Programme\RogueRemover PRO 2009-12-29 13:11:44 ----D---- C:\Programme\Lunarsoft 2009-12-29 12:59:41 ----D---- C:\Programme\CCleaner ======List of files/folders modified in the last 1 months====== 2010-01-22 14:36:11 ----D---- C:\WINDOWS\Temp 2010-01-22 14:36:10 ----D---- C:\WINDOWS\Prefetch 2010-01-22 14:36:04 ----RD---- C:\Programme 2010-01-22 14:15:39 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2010-01-22 13:26:04 ----D---- C:\Programme\Spyware Doctor 2010-01-22 13:09:57 ----D---- C:\Programme\Mozilla Firefox 2010-01-22 13:06:51 ----D---- C:\WINDOWS\Debug 2010-01-22 13:06:51 ----D---- C:\WINDOWS 2010-01-22 12:44:59 ----D---- C:\Programme\Google 2010-01-22 12:42:44 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-22 12:40:31 ----N---- C:\WINDOWS\SchedLgU.Txt 2010-01-22 12:39:39 ----HD---- C:\WINDOWS\inf 2010-01-22 12:37:55 ----HD---- C:\WINDOWS\$hf_mig$ 2010-01-15 18:54:48 ----D---- C:\WINDOWS\AppPatch 2010-01-15 18:13:46 ----RSHD---- C:\WINDOWS\system32\dllcache 2010-01-15 18:13:42 ----D---- C:\WINDOWS\system32 2010-01-05 01:17:46 ----A---- C:\WINDOWS\system32\MRT.exe 2009-12-30 16:54:12 ----D---- C:\WINDOWS\system32\drivers 2009-12-29 15:44:47 ----SHD---- C:\WINDOWS\Installer 2009-12-29 15:44:36 ----D---- C:\WINDOWS\WinSxS ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 mfehidk;McAfee Inc. mfehidk; C:\WINDOWS\system32\drivers\mfehidk.sys [2009-09-16 214664] R1 MPFP;MPFP; C:\WINDOWS\System32\Drivers\Mpfp.sys [2009-07-16 120136] R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2004-07-14 5627] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2004-07-14 23545] R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816] R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2004-11-23 40480] R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2004-12-06 25883] R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2004-12-06 34843] R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2004-12-06 4123] R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2004-12-06 2271] R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2004-12-06 86586] R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2004-12-06 15227] R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2004-12-06 6363] R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2004-12-06 98714] R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2004-12-06 100603] R3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2004-02-10 154112] R3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2005-05-13 452736] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-09-20 1302332] R3 mfeavfk;McAfee Inc. mfeavfk; C:\WINDOWS\system32\drivers\mfeavfk.sys [2009-09-16 79816] R3 mfebopk;McAfee Inc. mfebopk; C:\WINDOWS\system32\drivers\mfebopk.sys [2009-09-16 35272] R3 mferkdk;McAfee Inc. mferkdk; C:\WINDOWS\system32\drivers\mferkdk.sys [2009-09-16 34248] R3 mfesmfk;McAfee Inc. mfesmfk; C:\WINDOWS\system32\drivers\mfesmfk.sys [2009-09-16 40552] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 senfilt;senfilt; C:\WINDOWS\system32\drivers\senfilt.sys [2004-09-17 732928] R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2005-01-27 260352] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408] S3 rkhdrv40;Rootkit Unhooker Driver; C:\WINDOWS\system32\drivers\rkhdrv40.sys [] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 wceusbsh;Windows CE USB Serial Host Driver; C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2004-12-06 104064] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2008-04-13 42368] S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928] S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752] S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2008-04-13 43008] S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952] S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2008-04-13 40960] S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2008-04-13 42240] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AAV UpdateService;AAV UpdateService; C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 AVM IGD CTRL Service;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2005-03-04 118784] R2 AVM WLAN Connection Service;AVM WLAN Connection Service; C:\Programme\avmwlanstick\WlanNetService.exe [2005-05-13 374206] R2 Browser Defender Update Service;Browser Defender Update Service; C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe [2009-11-10 112592] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2008-12-17 152984] R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service; C:\Programme\McAfee\SiteAdvisor\McSACore.exe [2009-12-08 93320] R2 mcmscsvc;McAfee Services; C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe [2009-07-09 865832] R2 McNASvc;McAfee Network Agent; c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe [2009-07-07 2482848] R2 McProxy;McAfee Proxy Service; c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe [2009-07-08 359952] R2 McShield;McAfee Real-time Scanner; C:\Programme\McAfee\VirusScan\McShield.exe [2009-09-16 144704] R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120] R2 MpfService;McAfee Personal Firewall Service; C:\Programme\McAfee\MPF\MPFSrv.exe [2009-10-27 895696] R2 MSK80Service;McAfee SpamKiller Service; C:\Programme\McAfee\MSK\MskSrver.exe [2009-07-08 26640] R2 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2009-10-30 359624] R2 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2009-11-06 1141712] R3 McSysmon;McAfee SystemGuards; C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe [2009-09-16 606736] S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2005-03-04 315392] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-03 182768] S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope; C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe [2007-09-07 71208] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 McODS;McAfee Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe [2009-09-16 365072] S3 NetSvc;Intel NCS NetService; C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe [2003-12-17 143360] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- |
|
22.01.2010, 14:59
| #2 |
  | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hi,
__________________Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\dla\tfswshx.dll
GMER im abgesicherten Modus (F8 beim Booten!): Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
|
22.01.2010, 17:53
| #3 |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hallo Chris4You,
__________________danke für dein schnelles Feedback! Der Scan von der Datei tfswshx.dll habe ich weiter unten angefügt (Größenangabe sowie den HASH konnte ich nicht finden? Wo finde ich das?) Gmer habe ich auch durchgeführt. Bin auf den Reiter Rootkit/Malware und auf den Button Start. Der Scan ging bestimmt fast 2 Stunden. Dann war aber kein Bericht da?! Habe vergebens gesucht und auf den OK-Button geklickt, das Programm hat sich dann geschlossen  Ich laß den Scan jetzt nochmal laufen. Wo finde ich dann den Bericht? tfswshx.dll Datei tfswshx.dll empfangen 2010.01.22 14:31:57 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.01.22 - AhnLab-V3 5.0.0.2 2010.01.22 - AntiVir 7.9.1.146 2010.01.22 - Antiy-AVL 2.0.3.7 2010.01.22 - Authentium 5.2.0.5 2010.01.22 - Avast 4.8.1351.0 2010.01.22 - AVG 9.0.0.730 2010.01.22 - BitDefender 7.2 2010.01.22 - CAT-QuickHeal 10.00 2010.01.22 - ClamAV 0.94.1 2010.01.22 - Comodo 3671 2010.01.22 - DrWeb 5.0.1.12222 2010.01.22 - eSafe 7.0.17.0 2010.01.21 - eTrust-Vet 35.2.7253 2010.01.22 - F-Prot 4.5.1.85 2010.01.21 - F-Secure 9.0.15370.0 2010.01.22 - Fortinet 4.0.14.0 2010.01.22 - GData 19 2010.01.22 - Ikarus T3.1.1.80.0 2010.01.22 - Jiangmin 13.0.900 2010.01.22 - K7AntiVirus 7.10.951 2010.01.20 - Kaspersky 7.0.0.125 2010.01.22 - McAfee 5868 2010.01.21 - McAfee+Artemis 5868 2010.01.21 - McAfee-GW-Edition 6.8.5 2010.01.22 - Microsoft 1.5405 2010.01.22 - NOD32 4797 2010.01.22 - Norman 6.04.03 2010.01.22 - nProtect 2009.1.8.0 2010.01.22 - Panda 10.0.2.2 2010.01.22 - PCTools 7.0.3.5 2010.01.22 - Prevx 3.0 2010.01.22 - Rising 22.31.04.04 2010.01.22 - Sophos 4.50.0 2010.01.22 - Sunbelt 3.2.1858.2 2010.01.22 - Symantec 20091.2.0.41 2010.01.22 - TheHacker 6.5.0.9.158 2010.01.22 - TrendMicro 9.120.0.1004 2010.01.22 - VBA32 3.12.12.1 2010.01.21 - ViRobot 2010.1.22.2151 2010.01.22 - VirusBuster 5.0.21.0 2010.01.22 - weitere Informationen File size: 118842 bytes MD5...: 37943b990d318145d1efcbeef8f9566a SHA1..: aecb67386efa1a9ae6588149ac3f2fdf53262c28 SHA256: 044e1d506192a8f4297f13acb37476b7eccfe05911ab32458bd39bc9ea5de566 ssdeep: 3072:uILLcMesnaSTst8ItlAkDsDhEo7rr1Jj3cy:u5samBDkYtrzl PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xc000 timedatestamp.....: 0x41b50fd4 (Tue Dec 07 02:05:08 2004) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1054c 0x11000 6.41 09db346813dcbcb6d946619e4c090ccf .rdata 0x12000 0x204a 0x3000 4.33 b69e878dc0eb5bad1aacc2935172f2e3 .data 0x15000 0x6180 0x5000 3.01 3fd3f347fa9e7a5c6a16fe032e605761 .rsrc 0x1c000 0x2b0 0x1000 0.71 267db7cdaa93413d216b24fb3cb04ff6 .reloc 0x1d000 0x1420 0x2000 4.50 dea70cbc057386a041d4bb06b4feba5f ( 12 imports ) > tfswapi.dll: TfsFreeOpHandle, TfsGetOpStatus, TfsGetMediaStats, TfsGetMediaInfo, TfsGetDriveName, TfsGetFileSystemStatus, TfsStartAsyncOp, TfsPnpDevice, TfsGetIniFileName, TfsGetFormatCaps, TfsCommand, TfsGetDriveStatus2, TfsGetDriveCaps, TfsGetConfigString > tfswcres.dll: GetResourceHandle > KERNEL32.dll: GetModuleHandleA, lstrlenW, lstrcpynA, GetVolumeInformationA, DeleteCriticalSection, WaitForSingleObject, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, CreateThread, WritePrivateProfileStringA, GetLastError, CreateMutexA, CreateEventA, SetEvent, WaitForMultipleObjects, GetLocalTime, lstrcatA, DeleteFileA, GetPrivateProfileStringA, WriteFile, ReadFile, GetTempFileNameA, GetTempPathA, LocalAlloc, FreeResource, GetModuleFileNameA, RtlUnwind, GetCommandLineA, GetVersion, HeapFree, HeapAlloc, HeapReAlloc, ExitProcess, TerminateProcess, GetCurrentProcess, HeapSize, LCMapStringA, LCMapStringW, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, VirtualAlloc, GetStringTypeA, GetStringTypeW, SetFilePointer, FlushFileBuffers, GetCPInfo, GetACP, GetOEMCP, SetStdHandle, SetEndOfFile, MultiByteToWideChar, lstrcpyA, FreeLibrary, LoadLibraryA, GetProcAddress, lstrlenA, GetProfileStringA, GetVersionExA, lstrcmpiA, GetDriveTypeA, FormatMessageA, LocalFree, DeviceIoControl, GetSystemDirectoryA, WideCharToMultiByte, CloseHandle, CreateFileA, InterlockedDecrement, InterlockedIncrement, GetFileSize > USER32.dll: UnregisterClassA, IsWindowEnabled, IsDlgButtonChecked, DefWindowProcA, GetDlgCtrlID, UpdateWindow, InvalidateRect, CallWindowProcA, EndPaint, BeginPaint, FillRect, GetSysColor, LoadIconA, LoadStringA, RedrawWindow, SetCapture, SetCursor, ReleaseCapture, GetCapture, PtInRect, DrawFocusRect, FindWindowA, CreateWindowExA, DestroyWindow, GetPropA, CharUpperA, wsprintfA, MessageBoxA, GetClassNameA, EnumChildWindows, GetWindow, FindWindowExA, GetMessagePos, DialogBoxParamA, SetForegroundWindow, EndDialog, DispatchMessageA, TranslateMessage, IsDialogMessageA, PeekMessageA, SetTimer, KillTimer, MoveWindow, GetDesktopWindow, IsZoomed, IsIconic, GetParent, ShowWindow, EnableWindow, SetDlgItemTextA, GetDlgItemTextA, SetWindowTextA, GetClientRect, GetDC, SendMessageA, DrawTextA, ReleaseDC, ClientToScreen, ScreenToClient, GetWindowRect, GetWindowTextA, CheckDlgButton, PostMessageA, GetDlgItem, SetFocus, GetWindowLongA, SetWindowLongA, LoadCursorA, RegisterClassA, RegisterClipboardFormatA, LoadBitmapA, InsertMenuA, SetMenuItemBitmaps, DeleteMenu, GetMenuItemCount, GetMenuStringA, GetMenuItemID, GetMenuItemInfoA, CheckMenuItem, SetWindowPos > GDI32.dll: SetBkMode, GetTextExtentPoint32A, DeleteDC, SetBkColor, SetTextColor, StretchBlt, CreateFontIndirectA, GetDeviceCaps, CreateSolidBrush, GetObjectA, DeleteObject, SelectObject, CreateCompatibleDC, CreateBitmap > ADVAPI32.dll: RegQueryValueExA, RegEnumKeyExA, RegQueryInfoKeyA, RegEnumValueA, RegDeleteKeyA, RegOpenKeyA, RegCreateKeyA, RegCreateKeyExA, RegNotifyChangeKeyValue, RegSetValueExA, RegDeleteValueA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExA, RegCloseKey > SHELL32.dll: SHFileOperationA, DragFinish, DragQueryFileA, ExtractIconA, ShellExecuteA > COMCTL32.dll: CreatePropertySheetPageA, DestroyPropertySheetPage > ole32.dll: RevokeDragDrop, OleGetClipboard, CoUninitialize, CoCreateInstance, CoInitialize, ReleaseStgMedium, RegisterDragDrop > OLEAUT32.dll: -, -, - > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA > RPCRT4.dll: RpcStringFreeA, UuidToStringA, UuidCreate ( 2 exports ) DllCanUnloadNow, DllGetClassObject RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (53.1%) Windows Screen Saver (18.4%) Win32 Executable Generic (12.0%) Win32 Dynamic Link Library (generic) (10.6%) Generic Win/DOS Executable (2.8%) sigcheck: publisher....: Sonic Solutions copyright....: Copyright (c) 2004 Sonic Solutions product......: n/a description..: Drive Letter Access Component original name: n/a internal name: n/a file version.: 1.04.08a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned |
|
22.01.2010, 20:59
| #4 |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hi, poste ubedingt das GMER-Log, ggf. im abgesicherten Modus probieren (F8 beim Booten)... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
23.01.2010, 20:07
| #5 | |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hey Chris, wo finde ich das Gmer-Log? Wo wird dieses abgelegt? Ich habe schon zweimal im abgesicherten Modus gescannt. Wenn ich nach dem Scan auf OK klicke schließt sich die Gmer-Software. VG RMZ Zitat:
|
|
23.01.2010, 20:27
| #6 |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hi, hihi, da gibt es einen kleinen Trick für GMER (http://www.trojaner-board.de/74908-a...t-scanner.html <- schau mal hier): * Wichtig: Bitte alle offenen programme schließen! * 1. Starte den Scan mit "Scan". * 2. Wenn der Scan beendet wurde, klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "OK" wird GMER beendet. * Füge (STRG+V) das Log aus der Zwischenablage in Deine Antwort hier in Deinem Thema ein. * Nach dem Scan: Antiviren-Programm und sonstige Scanner wieder einschalten! chris
__________________ --> Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit |
|
26.01.2010, 13:37
| #7 | |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & RsitZitat:
die Auflösung im abgesicherten Modus verkleinert das GMER Fenster so stark, daß der Copy Button nicht sichtbar ist. Die Anzeigeeinstellungen lassen sich nicht verändern. Das GMER Fenster auch nicht verkleinern, es bleibt so wie es ist. In der Anleitung, die ich von dir erhalten habe hat hierfür keinen Tipp. Was kann ich hier machen? VG RMZ |
|
26.01.2010, 14:01
| #8 |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hi, normalerweise kannst Du das Fenster soweit aus dem linken Fensterrand rausschieben, das die rechte Buttonleiste sichtbar wird... Dann solltest Du an "Save" etc. kommen... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
26.01.2010, 15:11
| #9 | |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & RsitZitat:
das Problem liegt nicht in der Horizontalen, sondern in der Vertikalen (siehe Screenshot). Im abgesicherten Modus beträgt die Auflösung 640x400, diese kann nicht verändert werden. Das Fenster läßt sich nur ganz am Anfang (blaue Leiste) greifen und hoch schieben. Habe jetzt schon alles mögliche probiert das Fenster weiter nach oben zu verschieben, leider ohne Erfolg. Wie du siehst ist lediglich der Scan Button sichtbar. Gibt es hier einen Trick, einen Shortcut z. B.? Habe auch hier im Forum geschaut und gegoogelt, aber keine Lösung gefunden. Im normalen Modus (höhere Auflösung) ist der Scan Button natürlich sichtbar. Kann ich den Scan nicht im normalen Modus durchführen? VG RMZ |
|
26.01.2010, 16:33
| #10 |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hi, das Problem hatte ich noch nicht, und so einfach wird das wohl nicht, da die TAB-Sequenz nicht ganz richtig ist... Du kommst an den Scan-Button, lasse Ihn scannen und mache dann einen Screenshot... Alternativ probiere ihn im normalen Modus laufen zu lassen, führt ev. zu "Bluescreen"... Wenn GMER nicht geht, dann CF... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (26.01.2010 um 16:41 Uhr) |
|
28.01.2010, 20:36
| #11 | |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & RsitZitat:
das Fenster läßt sich leider nicht vergrößern. Ich habe jetzt im normalen Modus mit GMER gescannt. Ich habe antiviren und spyware deaktiviert (Symbole waren allerdings immer noch in der Taskleiste, aber mit einem roten X versehen). Habe versucht diese über STRG+Alt+ENTF über Prozesse zu schließen, das Schließen hierüber wurde aber verweigert. Ich hoffe das geht so trotzdem in Ordnung. Hier nun das Ergebnis (vielen Dank vorab für Dein Feeback!): GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-28 19:54:38 Windows 5.1.2600 Service Pack 3 Running: q03ry5gl.exe; Driver: C:\DOKUME~1\ZIMMER~1\LOKALE~1\Temp\kwlyiuow.sys ---- System - GMER 1.0.15 ---- SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateKey [0xF747EE52] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xF745FCDE] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xF745FED0] SSDT B9AC5CDC ZwCreateThread SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteKey [0xF747F640] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteValueKey [0xF747F8F4] SSDT B9AC5CFA ZwLoadKey SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwOpenKey [0xF747DB44] SSDT B9AC5CC8 ZwOpenProcess SSDT B9AC5CCD ZwOpenThread SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xF747FD60] SSDT B9AC5D04 ZwReplaceKey SSDT B9AC5CFF ZwRestoreKey SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwSetValueKey [0xF747F112] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwTerminateProcess [0xF745F984] Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateFile [0xB1799796] Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwMapViewOfSection [0xB17997D6] Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwProtectVirtualMemory [0xB17997AA] Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetContextThread [0xB1799782] Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetInformationProcess [0xB179976E] Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0xB17997EC] Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwYieldExecution [0xB17997C0] Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtCreateFile Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtMapViewOfSection Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtSetInformationProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!ZwYieldExecution 804F0EA6 7 Bytes JMP B17997C4 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) PAGE ntoskrnl.exe!NtCreateFile 8056F600 5 Bytes JMP B179979A \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) PAGE ntoskrnl.exe!NtSetInformationProcess 80570441 5 Bytes JMP B1799772 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) PAGE ntoskrnl.exe!ZwProtectVirtualMemory 8057457F 7 Bytes JMP B17997AE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) PAGE ntoskrnl.exe!ZwUnmapViewOfSection 80578606 5 Bytes JMP B17997F0 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) PAGE ntoskrnl.exe!NtMapViewOfSection 80578A81 7 Bytes JMP B17997DA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) PAGE ntoskrnl.exe!ZwSetContextThread 8062DD47 5 Bytes JMP B1799786 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xB9B7FF80] ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00070FEF .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00070084 .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00070F8F .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00070069 .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00070058 .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00070036 .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 000700A6 .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00070F6A .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00070F3C .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00070F4D .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00070F2B .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00070047 .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00070FDE .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00070095 .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 0007001B .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 0007000A .text C:\WINDOWS\system32\services.exe[696] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 000700CB .text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00060FA5 .text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00060F79 .text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00060000 .text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00060FD4 .text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 0006002C .text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00060FEF .text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 0006001B .text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00060F94 .text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00050FA1 .text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!system 77BF93C7 5 Bytes JMP 0005002C .text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00050FCD .text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00050000 .text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00050FBC .text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00050011 .text C:\WINDOWS\system32\services.exe[696] WS2_32.dll!socket 71A14211 5 Bytes JMP 00040FEF .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00EC0000 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00EC0095 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00EC0FAA .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00EC0084 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00EC0FD1 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00EC0058 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00EC0F59 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00EC0F6A .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00EC00C6 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00EC0F2D .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00EC00E1 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00EC0069 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00EC0011 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00EC0F7B .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00EC0047 .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00EC002C .text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00EC0F48 .text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00EB0040 .text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00EB0FCA .text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00EB0025 .text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00EB0FEF .text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00EB0087 .text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00EB0000 .text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00EB0076 .text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00EB005B .text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00EA0044 .text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00EA0033 .text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00EA0011 .text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00EA0000 .text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00EA0022 .text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00EA0FD7 .text C:\WINDOWS\system32\lsass.exe[708] WS2_32.dll!socket 71A14211 5 Bytes JMP 00BE0FE5 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00FA0000 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00FA0F52 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00FA0F6D .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00FA0047 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00FA0F8A .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00FA001B .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00FA0089 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00FA0078 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00FA0F1C .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00FA00B5 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00FA00D0 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00FA002C .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00FA0FE5 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00FA0F41 .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00FA0FAF .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00FA0FCA .text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00FA00A4 .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00F90FC3 .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00F90F7C .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00F90FD4 .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00F90FE5 .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00F90F8D .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00F90000 .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00F90FA8 .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [1C, 89] {SBB AL, 0x89} .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00F9002F .text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00F80064 .text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00F80049 .text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00F8002E .text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00F8000C .text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00F80FD9 .text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00F8001D .text C:\WINDOWS\system32\svchost.exe[884] WS2_32.dll!socket 71A14211 5 Bytes JMP 00F70000 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00D00000 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00D0006C .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00D00F81 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00D0005B .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00D00F9E .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00D00FB9 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00D00F4B .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00D00087 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00D00F15 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00D000AE .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00D00F04 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00D0004A .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00D00011 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00D00F5C .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00D00FD4 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00D00FE5 .text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00D00F30 .text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00CF0FC0 .text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00CF0F91 .text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00CF0011 .text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00CF0FE5 .text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00CF004E .text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00CF0000 .text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00CF003D .text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00CF002C .text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CE0F81 .text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CE0F9C .text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CE0FB7 .text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CE0FEF .text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CE000C .text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CE0FDE .text C:\WINDOWS\system32\svchost.exe[952] WS2_32.dll!socket 71A14211 5 Bytes JMP 00CD0FE5 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 02CB0FE5 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 02CB0FAD .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 02CB00A2 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 02CB0087 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 02CB006C .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 02CB0040 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 02CB0F88 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 02CB00D0 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 02CB0F5C .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 02CB00F5 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 02CB0F4B .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 02CB005B .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 02CB000A .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 02CB00B3 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 02CB0FD4 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 02CB0025 .text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 02CB0F6D .text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 02CA0FB9 .text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 02CA0F7C .text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 02CA0FCA .text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 02CA000A .text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 02CA0039 .text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 02CA0FEF .text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 02CA0F8D .text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [ED, 8A] .text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 02CA0FA8 .text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 02C90FC1 .text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!system 77BF93C7 5 Bytes JMP 02C90FD2 .text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 02C90FE3 .text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_open 77BFF566 5 Bytes JMP 02C90000 .text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 02C90038 .text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 02C9001D .text C:\WINDOWS\System32\svchost.exe[992] WS2_32.dll!socket 71A14211 5 Bytes JMP 02C80000 .text C:\WINDOWS\System32\svchost.exe[992] WININET.dll!InternetOpenA 408D3081 5 Bytes JMP 029D0000 .text C:\WINDOWS\System32\svchost.exe[992] WININET.dll!InternetOpenW 408D36B1 5 Bytes JMP 029D001B .text C:\WINDOWS\System32\svchost.exe[992] WININET.dll!InternetOpenUrlA 408D6F5A 5 Bytes JMP 029D0FE5 .text C:\WINDOWS\System32\svchost.exe[992] WININET.dll!InternetOpenUrlW 40918439 5 Bytes JMP 029D0FD4 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00770FEF .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 007700A2 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00770FAD .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00770087 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00770076 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0077004A .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 007700CE .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 007700BD .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00770F50 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 007700F3 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 0077010E .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00770065 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00770FD4 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00770F92 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00770025 .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 0077000A .text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00770F75 .text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00760FBC .text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00760F6B .text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00760FCD .text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00760FDE .text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00760F90 .text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00760FEF .text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00760032 .text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00760FAB .text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 0075007A .text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!system 77BF93C7 5 Bytes JMP 0075005F .text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00750044 .text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_open 77BFF566 5 Bytes JMP 0075000C .text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00750FEF .text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 0075001D .text C:\WINDOWS\system32\svchost.exe[1048] WS2_32.dll!socket 71A14211 5 Bytes JMP 00740000 .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 009D0FE5 .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 009D0F3A .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 009D0039 .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 009D0F61 .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 009D0F7C .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 009D0F9E .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 009D0EFD .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 009D0F0E .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 009D0096 .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 009D007B .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 009D0EEC .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 009D0F8D .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 009D000A .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 009D0F1F .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 009D0FB9 .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 009D0FCA .text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 009D0060 .text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 009C0FDB .text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 009C0F8A .text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 009C0036 .text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 009C001B .text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 009C0FA5 .text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 009C0000 .text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 009C0047 .text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 009C0FCA .text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 009B0066 .text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!system 77BF93C7 5 Bytes JMP 009B0055 .text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 009B0033 .text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_open 77BFF566 5 Bytes JMP 009B000C .text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 009B0044 .text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 009B0FEF .text C:\WINDOWS\system32\svchost.exe[1128] WS2_32.dll!socket 71A14211 5 Bytes JMP 009A000A .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 024A0FEF .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 024A0F66 .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 024A005B .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 024A0040 .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 024A002F .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 024A0F9E .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 024A0F24 .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 024A0F4B .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 024A00AC .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 024A0091 .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 024A00BD .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 024A0F8D .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 024A0FD4 .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 024A0076 .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 024A0FAF .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 024A0000 .text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 024A0F13 .text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 0238001E .text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 02380FA8 .text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 02380FCD .text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 02380FDE .text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 0238005B .text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 02380FEF .text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 0238004A .text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 02380039 .text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 01920F97 .text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!system 77BF93C7 5 Bytes JMP 01920FA8 .text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 01920FC3 .text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_open 77BFF566 5 Bytes JMP 01920FEF .text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 01920018 .text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 01920FDE .text C:\WINDOWS\Explorer.EXE[1364] WININET.dll!InternetOpenA 408D3081 5 Bytes JMP 0183000A .text C:\WINDOWS\Explorer.EXE[1364] WININET.dll!InternetOpenW 408D36B1 5 Bytes JMP 0183001B .text C:\WINDOWS\Explorer.EXE[1364] WININET.dll!InternetOpenUrlA 408D6F5A 5 Bytes JMP 0183002C .text C:\WINDOWS\Explorer.EXE[1364] WININET.dll!InternetOpenUrlW 40918439 5 Bytes JMP 01830047 .text C:\WINDOWS\Explorer.EXE[1364] WS2_32.dll!socket 71A14211 5 Bytes JMP 01860000 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00BB0000 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00BB0087 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00BB0076 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00BB005B .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00BB0FA8 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00BB0040 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00BB0F3F .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00BB0F5C .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00BB0EF8 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00BB0F13 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00BB00AC .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00BB0FB9 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00BB0FEF .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00BB0F77 .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00BB002F .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00BB0FDE .text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00BB0F24 .text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00940FA8 .text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00940040 .text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00940FC3 .text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00940FD4 .text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 0094002F .text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00940FE5 .text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00940F8D .text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [B7, 88] {MOV BH, 0x88} .text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00940014 .text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00930FAD .text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00930FBE .text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 0093001D .text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00930FEF .text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 0093002E .text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00930000 .text C:\WINDOWS\system32\svchost.exe[1588] WININET.dll!InternetOpenA 408D3081 5 Bytes JMP 00910FE5 .text C:\WINDOWS\system32\svchost.exe[1588] WININET.dll!InternetOpenW 408D36B1 5 Bytes JMP 00910000 .text C:\WINDOWS\system32\svchost.exe[1588] WININET.dll!InternetOpenUrlA 408D6F5A 5 Bytes JMP 00910FCA .text C:\WINDOWS\system32\svchost.exe[1588] WININET.dll!InternetOpenUrlW 40918439 5 Bytes JMP 00910FAF .text C:\WINDOWS\system32\svchost.exe[1588] WS2_32.dll!socket 71A14211 5 Bytes JMP 00920FEF .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00BD0FE5 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00BD0F83 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00BD006E .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00BD0051 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00BD0036 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00BD0F94 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00BD0F52 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00BD00A4 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00BD00DA .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00BD00BF .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00BD0F26 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00BD001B .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00BD0FD4 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00BD0093 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00BD0FAF .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00BD0000 .text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00BD0F41 .text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00BC0011 .text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00BC0F94 .text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00BC0FCA .text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00BC0FDB .text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00BC0FA5 .text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00BC0000 .text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00BC0047 .text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00BC002C .text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00BB0044 .text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00BB0FB9 .text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00BB0FD4 .text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00BB0FEF .text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00BB0029 .text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00BB000C .text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[3212] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0041C130 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.) .text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[3212] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 0041C1B0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) AttachedDevice \Driver\Tcpip \Device\Ip Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.) AttachedDevice \Driver\Tcpip \Device\Tcp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.) AttachedDevice \Driver\Tcpip \Device\Udp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.) AttachedDevice \Driver\Tcpip \Device\RawIp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.) Device \FileSystem\Fastfat \Fat B0106D20 Device \FileSystem\Fastfat \Fat B00FF60A AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) ---- EOF - GMER 1.0.15 ---- |
|
29.01.2010, 07:43
| #12 |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hi, C:\WINDOWS\system32\services.exe und C:\WINDOWS\system32\lsass.exe verknüpfen zwar zu einigen anderen Dlls (was ungewöhnlich ist, beide mal bei virustotal.com prüfen lassen!), aber ansonsten sieht das Okay aus... Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
07.02.2010, 15:01
| #13 |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hallo Chris, vielen dank für deine Hilfe. Ich habe jetzt die Datei C:\WINDOWS\system32\services.exe gescannt, leider mit 2 Funden: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.02.07 - AhnLab-V3 5.0.0.2 2010.02.06 - AntiVir 7.9.1.158 2010.02.05 - Antiy-AVL 2.0.3.7 2010.02.05 - Authentium 5.2.0.5 2010.02.06 - Avast 4.8.1351.0 2010.02.06 - AVG 9.0.0.730 2010.02.07 - BitDefender 7.2 2010.02.07 - CAT-QuickHeal 10.00 2010.02.06 - ClamAV 0.96.0.0-git 2010.02.06 - Comodo 3851 2010.02.07 - DrWeb 5.0.1.12222 2010.02.07 - eSafe 7.0.17.0 2010.02.04 Win32.TrojanHorse eTrust-Vet 35.2.7286 2010.02.05 - F-Prot 4.5.1.85 2010.02.06 - F-Secure 9.0.15370.0 2010.02.07 - Fortinet 4.0.14.0 2010.02.07 - GData 19 2010.02.07 - Ikarus T3.1.1.80.0 2010.02.07 - Jiangmin 13.0.900 2010.02.07 - K7AntiVirus 7.10.968 2010.02.06 - Kaspersky 7.0.0.125 2010.02.07 - McAfee 5884 2010.02.06 - McAfee+Artemis 5884 2010.02.06 - McAfee-GW-Edition 6.8.5 2010.02.07 Heuristic.LooksLike.Win32.Suspicious.H Microsoft 1.5406 2010.02.07 - NOD32 4843 2010.02.07 - Norman 6.04.03 2010.02.07 - nProtect 2009.1.8.0 2010.02.07 - Panda 10.0.2.2 2010.02.06 - PCTools 7.0.3.5 2010.02.07 - Prevx 3.0 2010.02.07 - Rising 22.33.06.04 2010.02.07 - Sophos 4.50.0 2010.02.07 - Sunbelt 3.2.1858.2 2010.02.07 - TheHacker 6.5.1.0.182 2010.02.07 - TrendMicro 9.120.0.1004 2010.02.07 - VBA32 3.12.12.1 2010.02.05 - ViRobot 2010.2.5.2174 2010.02.05 - VirusBuster 5.0.21.0 2010.02.06 - weitere Informationen File size: 111104 bytes MD5...: a3edbe9053889fb24ab22492472b39dc SHA1..: 7153d4d113c47379fb57aad4918a2f2a64f0c9ee SHA256: 6f2ed6e04bde2fca2a8bf9bd2d1d6923de6eaecb46f582b6c0bd1cf364d65c9e ssdeep: 1536:HAj12id0hKy+k1DQ+7Gpj3r4M7TGfwG1K9IJvydlnk4pCxvmA:HAG1DQgGp j3Cf1K9IBydlk+cvmA PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xbf63 timedatestamp.....: 0x498c1ac8 (Fri Feb 06 11:11:04 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x196a5 0x19800 6.23 bf32e1a6f4363e9fffea31d970bdebf2 .data 0x1b000 0xa38 0xc00 1.78 817a9a6979796d656eb64e994df5db0a .rsrc 0x1c000 0x850 0xa00 3.86 5ecabec1284399883afe76f8a296e48c ( 10 imports ) > ADVAPI32.dll: AllocateLocallyUniqueId, RegOpenKeyW, ConvertSidToStringSidW, AllocateAndInitializeSid, FreeSid, LogonUserExW, LsaStorePrivateData, LsaLookupNames, AddAccessAllowedAce, SetTokenInformation, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, SystemFunction029, SystemFunction005, CheckTokenMembership, LsaQueryInformationPolicy, OpenThreadToken, RegNotifyChangeKeyValue, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, GetSecurityDescriptorDacl, GetLengthSid, CopySid, InitializeAcl, AddAce, SetSecurityDescriptorDacl, LsaOpenPolicy, LsaLookupSids, LsaFreeMemory, LsaClose, GetTokenInformation, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, InitiateSystemShutdownW, RevertToSelf, CreateProcessAsUserW, ImpersonateLoggedOnUser > KERNEL32.dll: GetCurrentThread, CreateMutexW, ReleaseMutex, ExitThread, FormatMessageW, lstrcmpiW, SetProcessShutdownParameters, DelayLoadFailureHook, RaiseException, GetExitCodeThread, SetConsoleCtrlHandler, SetErrorMode, SetUnhandledExceptionFilter, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcess, UnhandledExceptionFilter, GetModuleHandleA, OpenEventW, LocalAlloc, LocalFree, Sleep, LeaveCriticalSection, EnterCriticalSection, SetLastError, CloseHandle, CreateThread, GetLastError, CreateProcessW, ExpandEnvironmentStringsW, InitializeCriticalSection, HeapAlloc, HeapFree, TerminateProcess, WaitForSingleObject, HeapCreate, FreeLibrary, GetProcAddress, GetModuleHandleExW, InterlockedCompareExchange, CreateNamedPipeW, ReadFile, CancelIo, GetOverlappedResult, WaitForMultipleObjects, ConnectNamedPipe, TransactNamedPipe, WriteFile, GetTickCount, GetSystemTimeAsFileTime, GetModuleHandleW, GetComputerNameW, CreateEventW, SetEvent, ResetEvent, DeviceIoControl, CreateFileW, ResumeThread, GetCurrentProcessId, LoadLibraryW, GetDriveTypeW > msvcrt.dll: _itow, wcsrchr, time, _except_handler3, memmove, wcschr, _c_exit, _exit, wcsncmp, _XcptFilter, _cexit, exit, _wcsnicmp, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _wtol, wcscpy, wcscat, wcsncpy, _wcsicmp, __initenv, wcslen, wcscspn, _ultow > NCObjAPI.DLL: WmiCreateObjectWithFormat, WmiEventSourceConnect, WmiSetAndCommitObject > ntdll.dll: RtlCreateSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, NtCreateKey, NtQueryValueKey, NtSetValueKey, NtDeleteValueKey, NtEnumerateKey, NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, NtDeleteKey, RtlSetControlSecurityDescriptor, RtlValidSecurityDescriptor, RtlLengthSecurityDescriptor, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtAccessCheckAndAuditAlarm, NtSetInformationThread, NtAdjustPrivilegesToken, NtDuplicateToken, NtOpenProcessToken, RtlSetDaclSecurityDescriptor, RtlQuerySecurityObject, RtlSetSecurityObject, RtlValidRelativeSecurityDescriptor, RtlMapGenericMask, RtlCopyUnicodeString, NtSetInformationFile, NtQueryInformationFile, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtWaitForSingleObject, NtQueryDirectoryFile, NtDeleteFile, NtSetInformationProcess, RtlUnhandledExceptionFilter, NtSetEvent, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, RtlAllocateHeap, RtlConvertSharedToExclusive, RtlConvertExclusiveToShared, RtlRegisterWait, RtlGetNtProductType, RtlEqualUnicodeString, RtlLengthSid, RtlCopySid, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlUnicodeStringToAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlNewSecurityObject, RtlAddAce, RtlSetOwnerSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetSaclSecurityDescriptor, RtlSubAuthorityCountSid, RtlCompareUnicodeString, NtLoadDriver, NtUnloadDriver, RtlExpandEnvironmentStrings_U, RtlAdjustPrivilege, NtFlushKey, NtOpenFile, RtlDosPathNameToNtPathName_U, NtOpenSymbolicLinkObject, NtQuerySymbolicLinkObject, RtlFreeUnicodeString, RtlAreAllAccessesGranted, NtDeleteObjectAuditAlarm, NtCloseObjectAuditAlarm, RtlQueueWorkItem, RtlCopyLuid, RtlDeregisterWait, RtlReleaseResource, RtlAcquireResourceExclusive, RtlAcquireResourceShared, RtlInitializeResource, RtlDeleteSecurityObject, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlUnlockBootStatusData, NtInitializeRegistry, NtQueryKey, NtClose, RtlInitUnicodeString, NtSetSystemEnvironmentValue, RtlNtStatusToDosError, NtShutdownSystem, NtQueryInformationToken, RtlMakeSelfRelativeSD, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtSetSecurityObject > RPCRT4.dll: RpcServerRegisterAuthInfoW, RpcBindingFree, RpcEpResolveBinding, RpcBindingFromStringBindingW, RpcStringBindingComposeW, NdrClientCall2, RpcAsyncCompleteCall, RpcAsyncInitializeHandle, NdrAsyncServerCall, RpcServerListen, RpcMgmtStopServerListening, RpcMgmtWaitServerListen, RpcServerUnregisterIf, NdrAsyncClientCall, NdrServerCall2, I_RpcBindingIsClientLocal, RpcRevertToSelf, I_RpcMapWin32Status, RpcImpersonateClient, RpcStringBindingParseW, RpcStringFreeW, RpcBindingToStringBindingW, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcServerRegisterIf > SCESRV.dll: ScesrvInitializeServer, ScesrvTerminateServer > umpnpmgr.dll: RegisterScmCallback, PNP_SetActiveService, PNP_GetDeviceRegProp, PNP_GetDeviceListSize, PNP_GetDeviceList, PNP_HwProfFlags, RegisterServiceNotification, DeleteServicePlugPlayRegKeys > USER32.dll: LoadStringW, wsprintfW, BroadcastSystemMessageW, MessageBoxW, RegisterServicesProcess > USERENV.dll: UnloadUserProfile, CreateEnvironmentBlock, LoadUserProfileW, DestroyEnvironmentBlock ( 0 exports ) RDS...: NSRL Reference Data Set - sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten. product......: Betriebssystem Microsoft_ Windows_ description..: Anwendung f_r Dienste und Controller original name: services.exe internal name: services.exe file version.: 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned pdfid.: - trid..: Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) Bei der Datei lsass.exe gab es keinen Fund. Prevx war jedoch fündig (siehe Anahang) VG RMZ |
|
07.02.2010, 19:21
| #14 |
| | Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit Hi, lass die Funde von PrevX bei virustotal.com prüfen und poste die Ergebnisse... Das mit der service.exe halte ich für ein f/p... Hast Du ComboFix asugeführt? Systemdateien prüfen: Start->Ausführen cmd.exe dann sfc /scannow in das schwarze Fenster reinschreiben. Geht einige Zeit, eventuell Meldungen posten. Falls es Fehler meldet wie folgt vorgehen: Von der CD wird das dllcache-Verzeichnis aktualisiert. Hierbei verlangt XP leider immer die Professional-CD, auch bei XP Home. Dafür gibt es eine Umgehung. Man kopiert den I386-Ordner von der XP-Home-CD auf die Festplatte. Anschliessend modifiziert man die Registry so, dass XP von diesem Verzeichnis aus repariert. Damit wird der Zugriff auf die CD nahezu komplett ausgeschlossen. Schritt 1 Lege die XP-CD ein und suche den Ordner mit folgendem Namen: I386 Dies ist der Hauptordner und und sollte unter den ersten sein, die du siehst. Kopiere ihn jetzt auf dein Systemlaufwerk. Für die meisten sollte das das Laufwerk C:\ sein. Wenn du fertig bist, hast du einen Ordner der so aussieht: C:\I386 ----------------------------- Schritt 2 Nun musst du dem Computer noch das neue Verzeichnis bekannt geben. Das geschieht in der Registry (Start > ausführen >regedit) und navigiere zu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup Dort siehst du auf der rechten Seite verschiedene Einträge. Du änderst den folgenden: SourcePath Hier ist vermutlich ein Verweis auf dein CD-ROM-Laufwerk, und deshalb fragt er nach der XP CD. Alles was erforderlich ist, ist den Eintrag wie folgt zu ändern: C:\ Einfach auf den Wert doppelklicken und es geht ein Fenster auf, wo du den neuen Wert eintragen kannst. Nun starte deinen Computer neu und versuche scannow sfc noch einmal! chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit |
| antivir, antivir guard, avgntflt.sys, bho, bitte um hilfe, browser guard, cc cleaner, desktop, druck, excel, fehler, firefox, flash player, fontcache, hkus\s-1-5-18, home, hotfix.exe, iminstaller, install.exe, installation, logfile, msiexec.exe, phishing, plug-in, pop-up, pop-up fenster, registrierungsschlüssel, registry, security update, server, siteadvisor, software, spyware, starten, stick, studio, system, trojaner, trojaner eingefangen, updates, usb, windows internet, windows internet explorer, windows xp, windows-firewall, windows-sicherheitscenterdienst |
Linear-Darstellung
