Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Rootkit.Win32.ZAccess.c lässt sich nicht entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.09.2011, 18:08   #1
WayOfTheMonk
 
Rootkit.Win32.ZAccess.c lässt sich nicht entfernen - Standard

Rootkit.Win32.ZAccess.c lässt sich nicht entfernen



Hallo erstmal,

dieser tolle Rootkit hat sich auf einen Windows 2003 R2 Server breit gemacht.
Es sei vielleicht noch erwähnt das daran fünf Thin Clients angeschlossen sind.
Ich wurde darauf aufmerksam als ich gemerkt habe, dass Google Suchergebnisse auf Werbeseiten weiterleitet. Beim laden der Seite steht unten links im Firefox z.B. 1dayoftheweek, 2dayoftheweek,...., 6dayoftheweek.
Man wird auf Seiten wie find-fast-answers.com oder gomeo.com… weitergeleitet. Wobei in der Adresszeile des Browser die eigentliche URL des Suchergebnisses angezeigt wird. Hin und wieder läuft man auch in einen Servertimeout. Dieses Verhalten hat man auch mit anderen Browsern.

Konnte noch folgendes herausfinden:
Im Verzeichnis C:\WINDOWS\Temp befindet sich eine Datei mit dem Namen:
{E9C1E0AC-C9B2-4c85-94DE-9C1518918D02}.tlb
Mit dem TDSSKiller (aktuellste Version) werden mir zwei Objekte angezeigt:

Rootkit.Win32.ZAccess.c: Ich kann entweder Cure oder Copy to quarantine auswählen.

Unter C:\Windows\ gibt es noch die Datei "1921001702:433553293.exe": Hier kann ich Delete oder Copy to quarantine auswählen.
Ich habe die unterschiedlichen varianten schon ausprobiert.

Die Datei (1921001…) findet man auch als Prozess im TaskManager. Kann weder den Prozess noch die Datei an sich entfernen (wer hätte es gedacht)
Im TaskManager gab es noch einen suspekten svchost.exe Prozess. Da lief im Hintergrund der Dienst: ERSvc (laut processlibrary.com lautet die dementsprechende Prozessbezeichnung: Trojan.W32.Renama)

Diesen Task konnte ich killen. Taucht auch nicht mehr auf.

Nach einem Serverneustart (Laut TDDSKiller soll man das ja machen), sind die Dateien, wie auch bei vielen anderen wieder da....

- Antivir Serverversion lief für 5min und ist dann abgestürzt. Seit dem bekomme ich keine Verbindung mehr zum Server

- OTL Scan läuft bis "Scanning Modules..." und stürzt ab

- Gem fängt an zu scannen, stürzt ab und lässt sich dann nicht mehr starten.
Systemmeldung: Auf das angegebene Gerät,Pfad oder Datei kann nicht zugegriffen werden oder sie verfügen nicht über die Berechtigung. Ich bin aber als Admin angemeldet....

- Bei Malwarebytes habe ich das selbe Problem. Startet mit dem scan, stürzt ab und dann kann ich es nicht mehr starten.

Das einzige was zur Zeit funktioniert ist TDDSKiller. Anbei der Log:
Zitat:
2011/09/02 14:00:32.0812 6824 TDSS rootkit removing tool 2.5.17.0 Aug 22 2011 15:46:57
2011/09/02 14:00:33.0015 6824 ================================================================================
2011/09/02 14:00:33.0015 6824 SystemInfo:
2011/09/02 14:00:33.0015 6824
2011/09/02 14:00:33.0015 6824 OS Version: 5.2.3790 ServicePack: 2.0
2011/09/02 14:00:33.0015 6824 Product type: Domain controller
2011/09/02 14:00:33.0015 6824 ComputerName: S-CONNECT-STUTT
2011/09/02 14:00:33.0015 6824 UserName: Vertrieb-2
2011/09/02 14:00:33.0015 6824 Windows directory: C:\Dokumente und Einstellungen\Vertrieb-2.CONNECT-STUTTGA\WINDOWS
2011/09/02 14:00:33.0015 6824 System windows directory: C:\WINDOWS
2011/09/02 14:00:33.0015 6824 Processor architecture: Intel x86
2011/09/02 14:00:33.0015 6824 Number of processors: 8
2011/09/02 14:00:33.0015 6824 Page size: 0x1000
2011/09/02 14:00:33.0015 6824 Boot type: Normal boot
2011/09/02 14:00:33.0015 6824 ================================================================================
2011/09/02 14:00:33.0359 6824 Initialize success
2011/09/02 14:00:35.0421 7608 ================================================================================
2011/09/02 14:00:35.0421 7608 Scan started
2011/09/02 14:00:35.0421 7608 Mode: Manual;
2011/09/02 14:00:35.0421 7608 ================================================================================
2011/09/02 14:00:35.0921 7608 ACPI (0b8a84e19d697160c9d5e948e3b19226) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/09/02 14:00:36.0000 7608 ACPIEC (9dd1c189e2f273e75fa53f9bb9d4fe6d) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/09/02 14:00:36.0218 7608 AFD (4f99d1b9f5a8f77b3fb5f8d79baebe8e) C:\WINDOWS\System32\drivers\afd.sys
2011/09/02 14:00:36.0218 7608 Suspicious file (Forged): C:\WINDOWS\System32\drivers\afd.sys. Real md5: 4f99d1b9f5a8f77b3fb5f8d79baebe8e, Fake md5: 336d51e35c5737809449128f421431a1
2011/09/02 14:00:36.0234 7608 AFD - detected Rootkit.Win32.ZAccess.c (0)
2011/09/02 14:00:36.0453 7608 AppleTalk (892a8da8ad1177c6be3d015c2d47b06b) C:\WINDOWS\system32\DRIVERS\sfmatalk.sys
2011/09/02 14:00:36.0687 7608 AsyncMac (a35b971f631d4dfdeb68d71e770d2ce9) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/09/02 14:00:36.0718 7608 atapi (ff953a8f08ca3f822127654375786bbe) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/09/02 14:00:36.0828 7608 ati2mtag (fb61579b321953e2dfc92a1cc12be2c6) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/09/02 14:00:36.0859 7608 Atmarpc (d12dad5032285343ce3aa4906f661181) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/09/02 14:00:36.0921 7608 audstub (5bfd980c2107d88101d1dc14055526fc) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/09/02 14:00:37.0031 7608 avgio (8a966b330f39aeb11f3facab6bdde668) C:\Programme\Avira\AntiVir Server\avgio.sys
2011/09/02 14:00:37.0078 7608 avgntflt (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\drivers\avgntflt.sys
2011/09/02 14:00:37.0125 7608 avipbb (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/09/02 14:00:37.0171 7608 b06bdrv (974d35f8f9e69b475acf353a3d1ae865) C:\WINDOWS\system32\DRIVERS\bxvbdx.sys
2011/09/02 14:00:37.0218 7608 b06diag (cd9578cd6e7189a2c787a85b0bfe81f9) C:\WINDOWS\system32\DRIVERS\bxdiagx.sys
2011/09/02 14:00:37.0265 7608 Beep (99572503e15a3d10239b7b9887cbaf89) C:\WINDOWS\system32\drivers\Beep.sys
2011/09/02 14:00:37.0312 7608 cbidf2k (1342877de604a5a6bff986e288e3a8a7) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/09/02 14:00:37.0359 7608 Cdfs (e6d72780c957b69c48bfc66bc3ecdad4) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/09/02 14:00:37.0406 7608 Cdrom (825aa877a852ecc731fa0c39c8c37744) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/09/02 14:00:37.0484 7608 Clfs (821b38deb84b3d5f2f7c3e22b55ae040) C:\WINDOWS\system32\clfs.sys
2011/09/02 14:00:37.0546 7608 ClusDisk (54308cdf97622fae1620bb1ec39ef014) C:\WINDOWS\system32\DRIVERS\ClusDisk.sys
2011/09/02 14:00:37.0671 7608 CpqCiDrv (93ae26ab0b6db4efecd99d8cbdcb163d) C:\WINDOWS\system32\DRIVERS\cpqcidrv.sys
2011/09/02 14:00:37.0781 7608 CPQTeam (fdb09ef88f51bb3ffcd5017d8544531b) C:\WINDOWS\system32\DRIVERS\cpqteam.sys
2011/09/02 14:00:37.0843 7608 crcdisk (0ee27d9dbb208c13314f3c60f66aed26) C:\WINDOWS\system32\DRIVERS\crcdisk.sys
2011/09/02 14:00:37.0968 7608 DfsDriver (444726b01c31d29c70e60f7c35de43e5) C:\WINDOWS\system32\drivers\Dfs.sys
2011/09/02 14:00:38.0015 7608 Disk (98433302c02f1168efb7364f8111a179) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/09/02 14:00:38.0062 7608 dmboot (724361de7280af1763dc4378f8e861df) C:\WINDOWS\system32\drivers\dmboot.sys
2011/09/02 14:00:38.0093 7608 dmio (a2a89e412718fb8cc818f2422244194d) C:\WINDOWS\system32\drivers\dmio.sys
2011/09/02 14:00:38.0125 7608 dmload (3d9bfa13b6f1cd2d91c50c52b32e91a2) C:\WINDOWS\system32\drivers\dmload.sys
2011/09/02 14:00:38.0187 7608 DwMirror (383182215a2c238e76b86e3b5ede40eb) C:\WINDOWS\system32\DRIVERS\DamewareMini.sys
2011/09/02 14:00:38.0234 7608 dwvkbd (5a402c57f621114c99f813c6ae7bc37a) C:\WINDOWS\system32\DRIVERS\dwvkbd.sys
2011/09/02 14:00:38.0265 7608 e6288072 (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\1921001702:433553293.exe
2011/09/02 14:00:38.0265 7608 Suspicious file (Hidden): C:\WINDOWS\1921001702:433553293.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
2011/09/02 14:00:38.0265 7608 e6288072 - detected HiddenFile.Multi.Generic (1)
2011/09/02 14:00:38.0375 7608 Fastfat (e792a18abdc32286212dce8e75baa124) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/09/02 14:00:38.0421 7608 Fdc (5090cd3f6ab1d71ad507953cff556ea9) C:\WINDOWS\system32\drivers\Fdc.sys
2011/09/02 14:00:38.0468 7608 Fips (9e6ffca260f8fd489d587f81e340a88d) C:\WINDOWS\system32\drivers\Fips.sys
2011/09/02 14:00:38.0500 7608 Flpydisk (c621a51f415419a3145a5939abde39fa) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/09/02 14:00:38.0531 7608 FltMgr (f978277ef786532195cdd9f88e908632) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/09/02 14:00:38.0562 7608 Fs_Rec (aebff3d810b74971b91b2b77b289a98b) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/09/02 14:00:38.0609 7608 Ftdisk (dc44beb527e1d36954faacafda054c20) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/09/02 14:00:38.0656 7608 Gpc (30b1653a955f548352024a5fee203cc3) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/09/02 14:00:38.0703 7608 hidusb (90a325e14f9b95f17712707b1a7181b5) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/09/02 14:00:38.0750 7608 HpCISSs2 (9ccb1b1e2b08e561d966c8b4bab200de) C:\WINDOWS\system32\drivers\HpCISSs2.sys
2011/09/02 14:00:38.0812 7608 hpqilo2 (531932f83691cb19a2978af004820cb2) C:\WINDOWS\system32\DRIVERS\hpqilo2.sys
2011/09/02 14:00:38.0859 7608 HTTP (66523e5ed59d095336046d3e65543cd5) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/09/02 14:00:38.0953 7608 i8042prt (bf156c8be79871e0072223dbee736190) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/09/02 14:00:39.0125 7608 imapi (44c132b35921b54b4a9ac64369d86d83) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/09/02 14:00:39.0203 7608 intelppm (b294c450af3807f66de26d7d71d58414) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/09/02 14:00:39.0234 7608 Ip6Fw (d7e7e7898a05c53dd862b49828747c1e) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/09/02 14:00:39.0250 7608 IpFilterDriver (5a41f207b7c39ee4918f7496a4f19b14) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/09/02 14:00:39.0312 7608 IpNat (890e7a14a63aec2ea9257a79a88be784) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/09/02 14:00:39.0359 7608 IPSec (1a9aeac49683b32df55b7fb1516f3028) C:\WINDOWS\system32\drivers\tsk6.tmp
2011/09/02 14:00:39.0421 7608 IRENUM (11407ee682a2d5b0248de8af0f1a6996) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/09/02 14:00:39.0453 7608 isapnp (b435bf66b0c9821b55576e951e0a4997) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/09/02 14:00:39.0500 7608 Kbdclass (183ab0d0ca4fc1a03a9186099d9f472a) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/09/02 14:00:39.0515 7608 kbdhid (57fba4e0696790bc6d255f7262e6ac26) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/09/02 14:00:39.0562 7608 KSecDD (9a99005e1a41ab360de231fb8e2f6184) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/09/02 14:00:39.0593 7608 l2nd (c53bb64df95a7d71628aae3fb331d6af) C:\WINDOWS\system32\DRIVERS\bxnd52x.sys
2011/09/02 14:00:39.0703 7608 MACSRV (18fdf96fbca7914255a6a6b6cfbaba23) C:\WINDOWS\system32\DRIVERS\sfmsrv.sys
2011/09/02 14:00:39.0750 7608 MBAMProtector (eca00eed9ab95489007b0ef84c7149de) C:\WINDOWS\system32\drivers\mbam.sys
2011/09/02 14:00:39.0812 7608 MBAMSwissArmy (b18225739ed9caa83ba2df966e9f43e8) C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011/09/02 14:00:39.0843 7608 mnmdd (c35bb38904d843c0465858195b30dab7) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/09/02 14:00:39.0875 7608 Modem (f2c104342467841d462ca064ff139d1f) C:\WINDOWS\system32\drivers\Modem.sys
2011/09/02 14:00:39.0890 7608 Mouclass (53482a6f728ef75f269b839178ef82e6) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/09/02 14:00:39.0921 7608 mouhid (ea6d4c67acb52602f5cf93776a27a3c8) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/09/02 14:00:39.0953 7608 MountMgr (fc43a7a34309c750b9daeadf2f6ec9b9) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/09/02 14:00:40.0015 7608 MRxDAV (ab6db63a1791f8e86b085291686464fd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/09/02 14:00:40.0078 7608 MRxSmb (16936142fa1d989cf63fd22c8b9d4a6d) C:\WINDOWS\system32\drivers\tsk3.tmp
2011/09/02 14:00:40.0140 7608 Msfs (8f50b87361585763841c6b603d23260c) C:\WINDOWS\system32\drivers\Msfs.sys
2011/09/02 14:00:40.0171 7608 msnfsflt (6fd2380e2199b77d44b8e73671099939) C:\WINDOWS\system32\DRIVERS\msnfsflt.sys
2011/09/02 14:00:40.0203 7608 mssmbios (92afab2f216ce8ffbad3bc510fcf4a33) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/09/02 14:00:40.0250 7608 Mup (834560abee4eae62620f4026263aa051) C:\WINDOWS\system32\drivers\Mup.sys
2011/09/02 14:00:40.0296 7608 NDIS (33739ab31d36184772af1ee132d5c2e2) C:\WINDOWS\system32\drivers\NDIS.sys
2011/09/02 14:00:40.0343 7608 NdisTapi (888b08f81b7d8428a37439d15c27f419) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/09/02 14:00:40.0359 7608 Ndisuio (8b8e682b03483092e17ab9dfe70fedff) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/09/02 14:00:40.0406 7608 NdisWan (1b397eef4614419be5679e0209f7848b) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/09/02 14:00:40.0437 7608 NDProxy (5298ed90bbe5c5eeedc363eed2888a25) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/09/02 14:00:40.0484 7608 NetBIOS (a0d5d6ae530ca78a062fc0471f1e6f78) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/09/02 14:00:40.0515 7608 NetBT (5cd7cca08498ec8753b22e92d367ca11) C:\WINDOWS\system32\drivers\tsk5.tmp
2011/09/02 14:00:40.0625 7608 NfsRdr (6755cca69800cde9a1f80f6db2caee84) C:\WINDOWS\system32\drivers\NfsRdr.sys
2011/09/02 14:00:40.0671 7608 NfsSvr (e289e07c8c4eb0874f717c682bfceae7) C:\WINDOWS\system32\DRIVERS\nfssvr.sys
2011/09/02 14:00:40.0812 7608 Npfs (d5bb605f6dcbdfe0129670c8de57913e) C:\WINDOWS\system32\drivers\Npfs.sys
2011/09/02 14:00:40.0859 7608 Ntfs (482ea51aadb8763a0f67588c394ec693) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/09/02 14:00:40.0921 7608 Null (5db0ede7aaf3a7bc9110d18c12524be0) C:\WINDOWS\system32\drivers\Null.sys
2011/09/02 14:00:40.0953 7608 NUServerXP32 (baf298fc64119702b39d4d2f539461d9) C:\WINDOWS\system32\DRIVERS\NUServerXP32.sys
2011/09/02 14:00:41.0031 7608 Parport (47df103cdb17749599861a1ce59bcf47) C:\WINDOWS\system32\drivers\Parport.sys
2011/09/02 14:00:41.0062 7608 PartMgr (4eb6f7418959444a06d3c51eb81bff04) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/09/02 14:00:41.0078 7608 PCI (1f589871ff5e5b56133114b7273b5136) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/09/02 14:00:41.0109 7608 PCIIde (a52f408e27cc00b21e23e181b75c627d) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/09/02 14:00:41.0140 7608 Pcmcia (efea11a064ddfc3a08cc6e9bced4aef8) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/09/02 14:00:41.0437 7608 Portmap (84be99f10e328dbe365f34585cf698b1) C:\WINDOWS\system32\DRIVERS\portmap.sys
2011/09/02 14:00:41.0468 7608 PptpMiniport (4454f2639bcca93be86a45137e427277) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/09/02 14:00:41.0515 7608 Ptilink (0320fd91fb5ed4298355977cecfc0eb4) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/09/02 14:00:41.0734 7608 RasAcd (48ee7b6802c0306f9a66f34db7e9ef75) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/09/02 14:00:41.0765 7608 Rasl2tp (3633175613e052ecb41776dee2777a89) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/09/02 14:00:41.0796 7608 RasPppoe (59842f0a22216a71cade6f89fe84c973) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/09/02 14:00:41.0828 7608 Raspti (5b11871de804d3ed28bbdcc65fe14ede) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/09/02 14:00:41.0875 7608 Rdbss (4496b15c44ccb703fbc54f2cf5b67f15) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/09/02 14:00:41.0890 7608 RDPCDD (ac5bb528ecd2bea4ff4bff9df9baf749) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/09/02 14:00:41.0937 7608 rdpdr (ff678596b761e1ccba79f49981ef51bc) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/09/02 14:00:41.0984 7608 RDPWD (319ea134a11fb4b78285475b7f9147e9) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/09/02 14:00:42.0031 7608 redbook (9ce91985ec59536b34aff85fca840000) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/09/02 14:00:42.0234 7608 RpcXdr (b31bf740db5838e1becf798a649ed828) C:\WINDOWS\system32\DRIVERS\rpcxdr.sys
2011/09/02 14:00:42.0281 7608 sacdrv (cb267fa4fbf01858b53cdd3364bf24d0) C:\WINDOWS\system32\drivers\sacdrv.sys
2011/09/02 14:00:42.0343 7608 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/09/02 14:00:42.0375 7608 serenum (b261d4597bf9a2723b7020207260c72a) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/09/02 14:00:42.0390 7608 Serial (d917646336e9515f1f39cd9719cfad6a) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/09/02 14:00:42.0468 7608 Sfloppy (831826dc54fa225f0b654ef2f1e13af9) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/09/02 14:00:42.0531 7608 SIS (7668635315c63f0a5efff92d06efa772) C:\WINDOWS\system32\DRIVERS\sis.sys
2011/09/02 14:00:42.0609 7608 Srv (e8b1a07774a9e4fec3105cbad49bf289) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/09/02 14:00:42.0640 7608 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/09/02 14:00:42.0671 7608 swenum (93965919785102ba847545ab460ce2df) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/09/02 14:00:42.0843 7608 Tcpip (238dc2b879d1b37b91f8d5d44f3815d3) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/09/02 14:00:42.0890 7608 TDPIPE (45d49fb800463de84d1cc2e231319ad5) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/09/02 14:00:42.0906 7608 TDTCP (d7c31008de209b8b11ced207580e9c91) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/09/02 14:00:42.0937 7608 TermDD (a01e46fff445a38d35db188c5458582c) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/09/02 14:00:44.0000 7608 Udfs (c26024265a7523312a5d06fc33aa57aa) C:\WINDOWS\system32\drivers\Udfs.sys
2011/09/02 14:00:44.0062 7608 Update (b0e133858e63940755b496761834f334) C:\WINDOWS\system32\DRIVERS\update.sys
2011/09/02 14:00:44.0093 7608 usbccgp (185959a7fccfd38aa71a274ae6252b88) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/09/02 14:00:44.0125 7608 usbehci (9dd4aba9462938734bcbf51d8669c884) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/09/02 14:00:44.0156 7608 usbhub (17859937740bc0d422fe71a588d6ddf7) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/09/02 14:00:44.0203 7608 usbscan (ff0464bab0572888111f22da5b9a5fe7) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/09/02 14:00:44.0234 7608 USBSTOR (d0740ff9f7e819486e88096826b4dc37) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/09/02 14:00:44.0250 7608 usbuhci (cbd3053337bb475f442a892edf671312) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/09/02 14:00:44.0296 7608 vga (2eb062b434792bb6bb614f107dd3a5cf) C:\WINDOWS\system32\DRIVERS\vgapnp.sys
2011/09/02 14:00:44.0328 7608 VgaSave (062fbc10147fd837d819f94aa394e661) C:\WINDOWS\System32\drivers\vga.sys
2011/09/02 14:00:44.0359 7608 VolSnap (1f946569f38935b5e4497620bc39e17c) C:\WINDOWS\system32\DRIVERS\volsnap.sys
2011/09/02 14:00:44.0406 7608 Wanarp (ce030b1d05a01fa012d32f2d25676b1c) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/09/02 14:00:44.0453 7608 Wdf01000 (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
2011/09/02 14:00:44.0546 7608 WLBS (aa0b9758a4035c3c181bf98e14620461) C:\WINDOWS\system32\DRIVERS\wlbs.sys
2011/09/02 14:00:45.0828 7608 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/09/02 14:00:45.0937 7608 MBR (0x1B8) (5fb38429d5d77768867c76dcbdb35194) \Device\Harddisk1\DR1
2011/09/02 14:00:45.0953 7608 Boot (0x1200) (17a391fe6ebedf7844c514b6bd1aef8f) \Device\Harddisk0\DR0\Partition0
2011/09/02 14:00:45.0968 7608 Boot (0x1200) (858d8b612536eff19f7b58e13a1ad7cf) \Device\Harddisk0\DR0\Partition1
2011/09/02 14:00:45.0984 7608 Boot (0x1200) (3b8bd6b9524ebccf589950914021ace9) \Device\Harddisk1\DR1\Partition0
2011/09/02 14:00:46.0000 7608 ================================================================================
2011/09/02 14:00:46.0000 7608 Scan finished
2011/09/02 14:00:46.0000 7608 ================================================================================
2011/09/02 14:00:46.0015 5052 Detected object count: 2
2011/09/02 14:00:46.0015 5052 Actual detected object count: 2
2011/09/02 14:19:32.0796 5052 AFD (4f99d1b9f5a8f77b3fb5f8d79baebe8e) C:\WINDOWS\System32\drivers\afd.sys
2011/09/02 14:19:32.0796 5052 Suspicious file (Forged): C:\WINDOWS\System32\drivers\afd.sys. Real md5: 4f99d1b9f5a8f77b3fb5f8d79baebe8e, Fake md5: 336d51e35c5737809449128f421431a1
2011/09/02 14:19:33.0406 5052 Backup copy found, using it..
2011/09/02 14:19:33.0421 5052 C:\WINDOWS\System32\drivers\afd.sys - will be cured after reboot
2011/09/02 14:19:33.0421 5052 Rootkit.Win32.ZAccess.c(AFD) - User select action: Cure
2011/09/02 14:19:33.0421 5052 HiddenFile.Multi.Generic(e6288072) - User select action: Skip
2011/09/02 14:19:39.0453 7788 Deinitialize success
Ich hoffe ihr könnt mir irgendwie helfen. Ich hab keine Ahnung mehr was ich machen soll.

Ich bedanke mich schon einmal recht herzlich für eure Hilfe und Unterstützung!

Alt 04.09.2011, 15:16   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.Win32.ZAccess.c lässt sich nicht entfernen - Standard

Rootkit.Win32.ZAccess.c lässt sich nicht entfernen



Zitat:
- OTL Scan läuft bis "Scanning Modules..." und stürzt ab
CustomScan? Setz bei OTL den Button so, dass es die Modules nicht scannt. Also Modules => none
__________________

__________________

Alt 05.09.2011, 11:06   #3
WayOfTheMonk
 
Rootkit.Win32.ZAccess.c lässt sich nicht entfernen - Standard

Rootkit.Win32.ZAccess.c lässt sich nicht entfernen



Zitat:
CustomScan? Setz bei OTL den Button so, dass es die Modules nicht scannt. Also Modules => none
Danke! Wer lesen kann ist klar im Vorteil.

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 05.09.2011 10:38:54 - Run 1
OTL by OldTimer - Version 3.2.27.0     Folder = C:\xxx
Windows Server 2003 Server 2003 R2 Edition Service Pack 2 (Version = 5.2.3790) - Type = NTDomainController
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 1,55 Gb Available Physical Memory | 47,64% Memory free
5,10 Gb Paging File | 3,17 Gb Available in Paging File | 62,16% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 30,01 Gb Total Space | 6,04 Gb Free Space | 20,13% Space Free | Partition Type: NTFS
Drive D: | 273,40 Gb Total Space | 202,64 Gb Free Space | 74,12% Space Free | Partition Type: NTFS
Drive P: | 814,11 Gb Total Space | 641,29 Gb Free Space | 78,77% Space Free | Partition Type: NTFS
Drive S: | 38,32 Gb Total Space | 0,90 Gb Free Space | 2,34% Space Free | Partition Type: NTFS
 
Computer Name: S-CONNECT-STUTT | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - File not found -- C:\WINDOWS\1921001702:433553293.exe
PRC - [2011.09.02 14:50:39 | 000,581,120 | ---- | M] (OldTimer Tools) -- C:\Rootkit_Progs\OTL.exe
PRC - [2011.09.01 11:21:13 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2011.07.06 19:52:38 | 000,449,584 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2011.07.06 19:52:38 | 000,366,640 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2011.06.29 12:18:11 | 000,471,040 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dns.exe
PRC - [2011.04.07 15:54:26 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Server\sched.exe
PRC - [2011.04.07 15:54:14 | 000,334,504 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Server\avgnt.exe
PRC - [2011.03.29 15:21:02 | 000,157,696 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wins.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.01.06 12:22:58 | 000,017,920 | ---- | M] (Sage Software, Inc.) -- C:\Programme\ACT\Act for Windows\Act.Outlook.Service.exe
PRC - [2008.02.08 09:41:12 | 000,185,632 | ---- | M] (Protexis Inc.) -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
PRC - [2007.07.18 17:04:48 | 000,009,728 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe
PRC - [2007.07.16 17:36:16 | 000,006,656 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\sysdown.exe
PRC - [2007.07.09 19:08:06 | 000,745,472 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
PRC - [2007.07.06 13:12:04 | 000,004,608 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe
PRC - [2007.07.06 13:08:56 | 000,010,240 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\cpqrcmc.exe
PRC - [2007.06.28 13:36:30 | 000,069,632 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\HP\NCU\cpqteam.exe
PRC - [2007.06.22 13:14:28 | 000,005,120 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe
PRC - [2007.06.21 14:10:50 | 001,417,216 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\smhstart.exe
PRC - [2007.06.21 14:10:00 | 000,041,027 | ---- | M] (Apache Software Foundation) -- C:\hp\hpsmh\bin\rotatelogs.exe
PRC - [2007.06.21 14:09:24 | 000,024,631 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\hpsmhd.exe
PRC - [2007.06.14 08:53:02 | 000,019,456 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe
PRC - [2007.06.11 12:10:00 | 000,394,856 | R--- | M] (WinZip Computing, S.L.) -- C:\Programme\WinZip\WZQKPICK.EXE
PRC - [2007.06.11 11:01:18 | 000,082,432 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\HP\Cissesrv\cissesrv.exe
PRC - [2007.02.18 14:00:00 | 000,356,864 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\lserver.exe
PRC - [2007.02.18 14:00:00 | 000,053,760 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\nfsclnt.exe
PRC - [2007.02.18 14:00:00 | 000,036,352 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\nfssvc.exe
PRC - [2007.02.18 14:00:00 | 000,014,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\inetsrv\inetinfo.exe
PRC - [2007.02.18 13:00:00 | 001,056,768 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.02.18 13:00:00 | 000,793,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ntfrs.exe
PRC - [2007.02.18 13:00:00 | 000,164,864 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dfssvc.exe
PRC - [2007.02.18 13:00:00 | 000,078,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\sfmprint.exe
PRC - [2007.02.18 13:00:00 | 000,071,680 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\tssdis.exe
PRC - [2007.02.18 13:00:00 | 000,069,632 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\rdpclip.exe
PRC - [2007.02.18 13:00:00 | 000,065,536 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\sfmsvc.exe
PRC - [2007.02.18 13:00:00 | 000,040,448 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ismserv.exe
PRC - [2007.02.18 13:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\userinit.exe
PRC - [2007.02.17 07:46:28 | 000,427,520 | ---- | M] (Microsoft Corporation) -- C:\Programme\Remote Desktop\mstsc.exe
PRC - [2007.01.08 15:12:14 | 010,215,491 | R--- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe
PRC - [2003.10.24 06:37:56 | 000,217,194 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (WinHttpAutoProxySvc)
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - [2011.07.06 19:52:38 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011.06.29 12:18:11 | 000,471,040 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\dns.exe -- (DNS)
SRV - [2011.06.20 15:28:26 | 000,255,656 | ---- | M] () [Auto | Stopped] -- C:\Programme\Avira\AntiVir Server\avguard.exe -- (AntiVirService)
SRV - [2011.04.07 15:54:26 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Server\sched.exe -- (AntiVirScheduler)
SRV - [2011.03.29 15:21:02 | 000,157,696 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\wins.exe -- (WINS) WINS (Windows Internet Name Service)
SRV - [2010.01.04 18:41:38 | 000,081,920 | ---- | M] (Sage Software, Inc.) [Auto | Stopped] -- C:\Programme\ACT\Act for Windows\Act.Scheduler.exe -- (ACT! Scheduler)
SRV - [2008.11.04 01:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008.02.08 09:41:12 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)
SRV - [2007.09.20 18:10:02 | 000,032,768 | ---- | M] (Inter-Tel (Delaware), Inc) [Disabled | Stopped] -- C:\Dokumente und Einstellungen\vertrieb-2\Eigene Dateien\Inter-Tel\Collaboration Client 2.0\lkWebLink.exe -- (LkWebLink)
SRV - [2007.07.18 17:04:48 | 000,009,728 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe -- (CpqNicMgmt)
SRV - [2007.07.16 17:36:16 | 000,006,656 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\WINDOWS\system32\sysdown.exe -- (sysdown)
SRV - [2007.07.09 19:08:06 | 000,745,472 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe -- (cpqvcagent)
SRV - [2007.07.06 13:12:04 | 000,004,608 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe -- (CqMgServ)
SRV - [2007.07.06 13:08:56 | 000,010,240 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\WINDOWS\system32\cpqrcmc.exe -- (CpqRcmc)
SRV - [2007.06.22 13:14:28 | 000,200,192 | ---- | M] (Hewlett-Packard Company) [Disabled | Stopped] -- C:\WINDOWS\system32\CIMntfy\cimntfy.exe -- (CIMnotify)
SRV - [2007.06.22 13:14:28 | 000,005,120 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe -- (CqMgHost)
SRV - [2007.06.21 14:10:50 | 001,417,216 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\hp\hpsmh\bin\smhstart.exe -- (SysMgmtHp)
SRV - [2007.06.14 08:53:02 | 000,019,456 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe -- (CqMgStor)
SRV - [2007.06.11 11:01:18 | 000,082,432 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\HP\Cissesrv\cissesrv.exe -- (Cissesrv)
SRV - [2007.02.18 14:00:00 | 000,356,864 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\lserver.exe -- (TermServLicensing)
SRV - [2007.02.18 14:00:00 | 000,216,576 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\inetsrv\iisw3adm.dll -- (W3SVC)
SRV - [2007.02.18 14:00:00 | 000,084,992 | R--- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\wdssrv.dll -- (WDSServer) Windows-Bereitstellungsdiensteserver (WDS-Server)
SRV - [2007.02.18 14:00:00 | 000,083,456 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\grovel.exe -- (Groveler) Einzelinstanzspeicherung (Groveler)
SRV - [2007.02.18 14:00:00 | 000,053,760 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\nfsclnt.exe -- (Client For NFS)
SRV - [2007.02.18 14:00:00 | 000,036,352 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\nfssvc.exe -- (NfsSvc)
SRV - [2007.02.18 14:00:00 | 000,030,720 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\rqs.exe -- (rqs)
SRV - [2007.02.18 14:00:00 | 000,017,920 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\tftpd.exe -- (TFTPD)
SRV - [2007.02.18 14:00:00 | 000,014,336 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (IISADMIN)
SRV - [2007.02.18 13:00:00 | 000,793,088 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\ntfrs.exe -- (NtFrs)
SRV - [2007.02.18 13:00:00 | 000,164,864 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\dfssvc.exe -- (Dfs) Verteiltes Dateisystem (DFS)
SRV - [2007.02.18 13:00:00 | 000,094,720 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\llssrv.exe -- (LicenseService)
SRV - [2007.02.18 13:00:00 | 000,078,336 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\sfmprint.exe -- (MacPrint)
SRV - [2007.02.18 13:00:00 | 000,071,680 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\tssdis.exe -- (Tssdis)
SRV - [2007.02.18 13:00:00 | 000,067,072 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\rsopprov.exe -- (RSoPProv)
SRV - [2007.02.18 13:00:00 | 000,065,536 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\sfmsvc.exe -- (MacFile)
SRV - [2007.02.18 13:00:00 | 000,050,688 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\trksvr.dll -- (TrkSvr) Überwachung verteilter Verknüpfungen (Server)
SRV - [2007.02.18 13:00:00 | 000,040,448 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\ismserv.exe -- (IsmServ)
SRV - [2007.02.18 13:00:00 | 000,012,288 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\sacsvr.dll -- (sacsvr) Hilfsprogramm für spezielle Verwaltungskonsole (SAC)
SRV - [2007.02.18 13:00:00 | 000,008,192 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\ias.dll -- (IAS)
SRV - [2006.10.26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.09.02 14:19:33 | 000,150,528 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tsk10.tmp -- (AFD)
DRV - [2011.09.01 19:32:00 | 000,082,432 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tsk6.tmp -- (IPSec)
DRV - [2011.09.01 19:00:45 | 000,180,224 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tsk5.tmp -- (NetBT)
DRV - [2011.09.01 15:20:19 | 000,439,296 | ---- | M] (Microsoft Corporation) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\tsk3.tmp -- (MRxSmb)
DRV - [2011.07.06 19:52:42 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011.05.31 18:03:00 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.04.21 11:05:48 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.09.17 12:07:42 | 000,207,488 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NUServerXP32.sys -- (NUServerXP32)
DRV - [2010.02.18 13:25:44 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.20 17:11:30 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | Auto | Running] -- C:\Programme\Avira\AntiVir Server\avgio.sys -- (avgio)
DRV - [2007.07.16 17:36:16 | 000,117,248 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hpqilo2.sys -- (hpqilo2)
DRV - [2007.07.06 16:40:10 | 000,212,480 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cpqteam.sys -- (CPQTeam)
DRV - [2007.06.22 14:55:14 | 000,035,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cpqcidrv.sys -- (CpqCiDrv)
DRV - [2007.06.21 23:33:52 | 000,065,072 | ---- | M] (Hewlett-Packard Company) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\HpCISSs2.sys -- (HpCISSs2)
DRV - [2007.06.04 16:54:48 | 000,033,280 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\bxdiagx.sys -- (b06diag)
DRV - [2007.06.04 16:48:36 | 000,050,176 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\bxnd52x.sys -- (l2nd)
DRV - [2007.02.18 14:00:00 | 000,470,528 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nfssvr.sys -- (NfsSvr)
DRV - [2007.02.18 14:00:00 | 000,323,072 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nfsrdr.sys -- (NfsRdr)
DRV - [2007.02.18 14:00:00 | 000,072,192 | ---- | M] (Microsoft Corporation) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sis.sys -- (SIS)
DRV - [2007.02.18 14:00:00 | 000,065,536 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rpcxdr.sys -- (RpcXdr)
DRV - [2007.02.18 14:00:00 | 000,026,112 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\portmap.sys -- (Portmap)
DRV - [2007.02.18 14:00:00 | 000,022,528 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msnfsflt.sys -- (msnfsflt)
DRV - [2007.02.18 13:00:00 | 000,175,104 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wlbs.sys -- (WLBS)
DRV - [2007.02.18 13:00:00 | 000,165,376 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sfmsrv.sys -- (MACSRV)
DRV - [2007.02.18 13:00:00 | 000,150,528 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\sfmatalk.sys -- (AppleTalk)
DRV - [2007.02.18 13:00:00 | 000,069,120 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\ClusDisk.sys -- (ClusDisk)
DRV - [2007.02.18 13:00:00 | 000,034,816 | ---- | M] (Microsoft Corporation) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\Dfs.sys -- (DfsDriver)
DRV - [2007.02.15 19:00:00 | 000,026,624 | ---- | M] (DameWare) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dwvkbd.sys -- (dwvkbd)
DRV - [2007.02.07 19:00:00 | 000,003,712 | ---- | M] (DameWare Development, LLC) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\DamewareMini.sys -- (DwMirror)
DRV - [2006.04.05 23:03:54 | 001,431,040 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.09.01 11:21:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2011.06.30 09:23:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2011.06.30 08:21:57 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.10.12 16:08:41 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2009.09.02 09:00:18 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.09.01 11:21:13 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.02.03 12:02:02 | 000,000,902 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 192.168.0.208	xxxappserver
O1 - Hosts: 192.168.0.206	xxxserver
O1 - Hosts: 192.168.0.209	xxxfile
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O4 - HKLM..\Run: [Act! Preloader] C:\Programme\ACT\Act for Windows\ActSage.exe (Sage Software, Inc.)
O4 - HKLM..\Run: [Act.Outlook.Service] C:\Programme\ACT\Act for Windows\Act.Outlook.Service.exe (Sage Software, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Server\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CPQTEAM] C:\Programme\HP\NCU\cpqteam.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\xxxLaufwerk.bat ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, S.L.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ShowSuperHidden = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 -  File not found
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://www.apple.com/qtactivex/qtplugin.cab (QuickTime Plugin Control)
O16 - DPF: {0AFD9937-10D5-436F-9F2B-08BF61754446} hxxp://crmserver/crm/Plugin/OTLTools.cab (OutlookTools Object)
O16 - DPF: {3DFD2B52-C6E9-11D4-8226-005004F658FC} hxxp://crmserver.sphinxcomputer.local/CRM/Plugin/eWarePluginX.cab (XeWare Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198161576656 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.9.160.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B21C9066-E8EB-4D5E-BB57-993B4B2A07B3}: NameServer = 192.168.50.200,216.146.36.36
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F59CA6CD-E03B-451C-9ACE-3F69B47E7BB1}: DhcpNameServer = 212.9.160.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F59CA6CD-E03B-451C-9ACE-3F69B47E7BB1}: NameServer = 216.146.35.35,216.146.36.36
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll -  File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop BackupWallPaper: 
O29 - HKLM SecurityProviders - (pwdssp.dll) - C:\WINDOWS\System32\pwdssp.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.12.20 15:13:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.09.02 15:18:55 | 000,000,000 | ---D | C] -- C:\Rootkit_Progs
[2011.09.02 14:19:33 | 000,094,768 | ---- | C] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\99784405.sys
[2011.09.02 13:42:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.09.02 13:40:37 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.09.02 13:40:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.09.02 13:40:34 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.09.02 13:40:34 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.09.01 19:32:00 | 000,094,768 | ---- | C] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\09038975.sys
[2011.09.01 19:00:45 | 000,094,768 | ---- | C] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\75285522.sys
[2011.09.01 18:51:42 | 000,094,768 | ---- | C] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\74714373.sys
[2011.09.01 18:35:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2011.09.01 15:20:19 | 000,094,768 | ---- | C] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\28935471.sys
[2011.09.01 11:09:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira
[2011.09.01 11:07:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2011.09.01 11:07:21 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2011.09.01 11:07:18 | 000,138,192 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.09.01 11:07:18 | 000,066,616 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2011.09.01 11:07:18 | 000,046,424 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2011.09.01 11:07:18 | 000,021,336 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2011.09.01 11:07:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2011.09.01 10:46:25 | 000,000,000 | ---D | C] -- C:\Antivir
[2011.08.11 07:39:30 | 000,602,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msfeeds.dll
[2011.08.11 07:39:30 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msfeedsbs.dll
[2011.08.11 07:39:29 | 001,212,416 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\urlmon.dll
[2011.08.11 07:39:29 | 000,916,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wininet.dll
[2011.08.11 07:39:29 | 000,105,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\url.dll
[2011.08.11 07:39:29 | 000,105,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\url.dll
[2011.08.11 07:39:29 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\jsproxy.dll
[2011.08.11 07:39:29 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\jsproxy.dll
[2011.04.19 09:44:30 | 000,207,488 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\NUServerXP32.sys
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.09.05 10:38:17 | 000,000,952 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
[2011.09.05 08:08:12 | 000,000,434 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{38EC0CAE-CD42-46D8-B4A3-7F00F82ECCBC}.job
[2011.09.05 08:07:18 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office Outlook 2007.lnk
[2011.09.05 07:15:05 | 000,698,638 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.09.05 07:15:05 | 000,647,750 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.09.05 07:15:05 | 000,152,672 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.09.05 07:15:05 | 000,129,788 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.09.05 07:14:03 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.09.05 07:10:20 | 000,000,000 | ---- | M] () -- C:\WINDOWS\1921001702
[2011.09.05 07:10:19 | 000,043,408 | -HS- | M] () -- C:\WINDOWS\System32\c_85914.nl_
[2011.09.05 07:10:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.09.02 14:19:33 | 000,094,768 | ---- | M] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\99784405.sys
[2011.09.02 13:42:40 | 000,586,306 | ---- | M] () -- C:\WINDOWS\System32\drivers\Cat.DB
[2011.09.01 19:32:00 | 000,094,768 | ---- | M] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\09038975.sys
[2011.09.01 19:00:45 | 000,094,768 | ---- | M] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\75285522.sys
[2011.09.01 18:51:42 | 000,094,768 | ---- | M] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\74714373.sys
[2011.09.01 15:20:19 | 000,094,768 | ---- | M] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\28935471.sys
[2011.09.01 10:42:00 | 000,001,536 | ---- | M] () -- C:\HBEDV.KEY
[2011.08.30 08:08:44 | 000,002,505 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office    Excel 2007.lnk
[2011.08.29 11:17:00 | 000,261,167 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\xxx.pdf
[2011.08.29 07:08:45 | 000,065,536 | ---- | M] () -- C:\WINDOWS\NETLOGON.CHG
[2011.08.24 15:45:15 | 000,000,027 | ---- | M] () -- C:\WINDOWS\EZSET_SP.INI
[2011.08.17 08:43:31 | 000,378,239 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\xxx.pdf
[2011.08.12 08:14:24 | 000,007,762 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\xxx.pdf
[2011.08.11 09:05:40 | 000,003,423 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.08.09 10:29:01 | 000,271,665 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\PCI_1730-AE.pdf
[2011.08.09 10:14:20 | 000,395,556 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\PCI-1730U_DS20110805143351.pdf
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.09.02 13:42:31 | 000,586,306 | ---- | C] () -- C:\WINDOWS\System32\drivers\Cat.DB
[2011.09.01 19:55:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\1921001702
[2011.09.01 18:00:49 | 000,043,408 | -HS- | C] () -- C:\WINDOWS\System32\c_85914.nl_
[2011.09.01 10:42:00 | 000,001,536 | ---- | C] () -- C:\HBEDV.KEY
[2011.08.29 11:17:00 | 000,261,167 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\xxx.pdf
[2011.08.12 08:14:27 | 000,007,762 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\xxx.pdf
[2011.08.09 10:29:01 | 000,271,665 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\PCI_1730-AE.pdf
[2011.08.09 10:14:20 | 000,395,556 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\PCI-1730U_DS20110805143351.pdf
[2011.05.20 09:43:36 | 000,000,027 | ---- | C] () -- C:\WINDOWS\EZSET_SP.INI
[2010.09.20 18:15:39 | 000,000,952 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
[2010.09.20 18:15:39 | 000,000,088 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\572815C7D2.sys
[2010.09.02 12:47:04 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\ActAB32.dll
[2010.09.02 12:47:03 | 000,192,585 | ---- | C] () -- C:\WINDOWS\System32\ActExt.dll
[2009.03.02 17:34:03 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.08.04 09:59:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\HPMProp.INI
[2008.05.06 13:32:58 | 000,001,843 | ---- | C] () -- C:\WINDOWS\System32\RC98E1A0.dat
[2008.05.06 13:32:58 | 000,000,072 | ---- | C] () -- C:\WINDOWS\ricdb.ini
[2008.05.06 13:32:57 | 000,000,148 | ---- | C] () -- C:\WINDOWS\System32\RPCS.ini
[2008.01.11 18:42:19 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\nhciClassInstallL.dll
[2008.01.07 14:54:53 | 000,000,170 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2008.01.03 22:16:21 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.01.02 13:38:01 | 000,004,765 | ---- | C] () -- C:\WINDOWS\System32\dhcpctrs.ini
[2008.01.02 13:25:54 | 000,001,311 | ---- | C] () -- C:\WINDOWS\System32\dfsmgmt.dll.config
[2008.01.02 13:25:52 | 000,039,160 | ---- | C] () -- C:\WINDOWS\System32\Dfsrperf.ini
[2008.01.02 13:25:20 | 000,080,471 | ---- | C] () -- C:\WINDOWS\System32\w3ctrs.ini
[2008.01.02 13:25:20 | 000,017,138 | ---- | C] () -- C:\WINDOWS\System32\axperf.ini
[2008.01.02 13:25:18 | 000,017,728 | ---- | C] () -- C:\WINDOWS\System32\infoctrs.ini
[2008.01.02 13:25:17 | 000,024,875 | ---- | C] () -- C:\WINDOWS\System32\dnsperf.ini
[2007.12.20 16:28:28 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2007.12.20 15:16:24 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2007.12.20 15:09:12 | 000,021,268 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007.12.20 13:51:22 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2007.12.20 13:50:36 | 000,284,520 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007.12.20 13:39:40 | 000,004,725 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2007.12.20 13:39:38 | 000,179,440 | ---- | C] () -- C:\WINDOWS\System32\schema.ini
[2007.12.20 13:39:26 | 000,698,638 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2007.12.20 13:39:26 | 000,647,750 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2007.12.20 13:39:26 | 000,275,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2007.12.20 13:39:26 | 000,272,566 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2007.12.20 13:39:26 | 000,152,672 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2007.12.20 13:39:26 | 000,129,788 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2007.12.20 13:39:26 | 000,035,730 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2007.12.20 13:39:26 | 000,029,710 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2007.12.20 13:39:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2007.12.20 13:39:22 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2007.12.20 13:39:12 | 000,053,024 | ---- | C] () -- C:\WINDOWS\System32\ntdsctrs.ini
[2007.12.20 13:39:12 | 000,042,502 | ---- | C] () -- C:\WINDOWS\System32\ntfrsrep.ini
[2007.12.20 13:39:12 | 000,011,343 | ---- | C] () -- C:\WINDOWS\System32\ntfrscon.ini
[2007.12.20 13:39:08 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2007.12.20 13:39:00 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\drivers\netbt.sys
[2007.12.20 13:38:44 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2007.12.20 13:38:44 | 000,046,907 | ---- | C] () -- C:\WINDOWS\mib.bin
[2007.12.20 13:38:02 | 000,082,432 | ---- | C] () -- C:\WINDOWS\System32\drivers\ipsec.sys
[2007.12.20 13:38:02 | 000,023,830 | ---- | C] () -- C:\WINDOWS\System32\ipsecprf.ini
[2007.12.20 13:37:54 | 000,024,711 | ---- | C] () -- C:\WINDOWS\System32\iasperf.ini
[2007.12.20 13:37:28 | 000,216,006 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2007.12.20 13:36:52 | 000,005,948 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007.12.20 13:36:40 | 000,000,041 | ---- | C] () -- C:\WINDOWS\System32\mqtgsvc.exe.cfg
[2007.06.14 08:53:02 | 000,029,696 | ---- | C] () -- C:\WINDOWS\System32\cqstrutl.dll
[2003.09.17 15:00:56 | 000,266,327 | ---- | C] () -- C:\WINDOWS\System32\ADErrorHandling.dll
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\1921001702:433553293.exe
@Alternate Data Stream - 60 bytes -> C:\Microsoft UAM-Datenträger:AFP_AfpInfo
@Alternate Data Stream - 44 bytes -> C:\Microsoft UAM-Datenträger:AFP_DeskTop
@Alternate Data Stream - 4096 bytes -> C:\Microsoft UAM-Datenträger:AFP_IdIndex
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

< End of report >
         
--- --- ---
__________________
Angehängte Dateien
Dateityp: zip Extras1.zip (8,5 KB, 66x aufgerufen)

Alt 05.09.2011, 12:22   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.Win32.ZAccess.c lässt sich nicht entfernen - Standard

Rootkit.Win32.ZAccess.c lässt sich nicht entfernen



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
PRC - File not found -- C:\WINDOWS\1921001702:433553293.exe
[2011.09.05 07:10:20 | 000,000,000 | ---- | M] () -- C:\WINDOWS\1921001702
[2010.09.20 18:15:39 | 000,000,088 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\572815C7D2.sys
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\1921001702:433553293.exe
@Alternate Data Stream - 60 bytes -> C:\Microsoft UAM-Datenträger:AFP_AfpInfo
@Alternate Data Stream - 44 bytes -> C:\Microsoft UAM-Datenträger:AFP_DeskTop
@Alternate Data Stream - 4096 bytes -> C:\Microsoft UAM-Datenträger:AFP_IdIndex
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
:Files
C:\WINDOWS\1921001702:433553293.exe
C:\WINDOWS\1921001702

:Commands
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.09.2011, 13:18   #5
WayOfTheMonk
 
Rootkit.Win32.ZAccess.c lässt sich nicht entfernen - Standard

Rootkit.Win32.ZAccess.c lässt sich nicht entfernen



OTL stürzt bei
Zitat:
PRC - File not found -- C:\WINDOWS\1921001702:433553293.exe
ab...Danach geht gar nichts mehr (Desktop verschwindet) und ich muss den Rechner neu starten.

Der Ordner "OTL_" wird mit drei leeren Unterordnern zwar erstellt, aber das wars.

Dennoch ein großes Dankeschön für deine Hilfe!!!


Geändert von WayOfTheMonk (05.09.2011 um 13:32 Uhr)

Alt 05.09.2011, 13:33   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.Win32.ZAccess.c lässt sich nicht entfernen - Standard

Rootkit.Win32.ZAccess.c lässt sich nicht entfernen



Dann versuch es hiermit:

Code:
ATTFilter
:OTL
[2011.09.05 07:10:20 | 000,000,000 | ---- | M] () -- C:\WINDOWS\1921001702
[2010.09.20 18:15:39 | 000,000,088 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\572815C7D2.sys
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\1921001702:433553293.exe
@Alternate Data Stream - 60 bytes -> C:\Microsoft UAM-Datenträger:AFP_AfpInfo
@Alternate Data Stream - 44 bytes -> C:\Microsoft UAM-Datenträger:AFP_DeskTop
@Alternate Data Stream - 4096 bytes -> C:\Microsoft UAM-Datenträger:AFP_IdIndex
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
:Files
C:\WINDOWS\1921001702:433553293.exe
C:\WINDOWS\1921001702
:Commands
[emptytemp]
         
__________________
--> Rootkit.Win32.ZAccess.c lässt sich nicht entfernen

Alt 08.09.2011, 10:12   #7
WayOfTheMonk
 
Rootkit.Win32.ZAccess.c lässt sich nicht entfernen - Standard

Rootkit.Win32.ZAccess.c lässt sich nicht entfernen



Sorry das ich mich jetzt erst melde, war aber leider die Tage krank...

Habe nun auch beim zweiten Versuch das selbe Programmverhalten.

OTL bleibt kurz danach hängen und ich muss den Rechner neu starten.
Zu allem überfluss kann ich OTL nun auch gar nicht mehr starten.

Habe anscheinend keine ausreichenden Berechtigungen um das Programm zu starten...also wie bei den anderen Programmen, auf die ich im ersten Post eingegangen bin.

Gibt es überhaupt noch eine Chance oder soll ich den Rechner wohl oder übel einfach neu aufsetzen?

Alt 08.09.2011, 13:45   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit.Win32.ZAccess.c lässt sich nicht entfernen - Standard

Rootkit.Win32.ZAccess.c lässt sich nicht entfernen



Probier mal CF. Wenn das auch nicht klappt oder wir danach nicht weiterkommen würde ich Neuinstallation sagen.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Rootkit.Win32.ZAccess.c lässt sich nicht entfernen
antivir, avira, browser, dateien, detected, einstellungen, entfernen, file, firefox, google, google suchergebnisse, harddisk, hiddenfile.multi.generic, hintergrund, log, lässt sich nicht entfernen, malwarebytes, namen, object, otl scan, programme, prozess, rootkit, scan, server, svchost.exe, temp, windows



Ähnliche Themen: Rootkit.Win32.ZAccess.c lässt sich nicht entfernen


  1. Win 7/ Rootkit lässt sich nicht entfernen.
    Log-Analyse und Auswertung - 05.07.2014 (4)
  2. Trojan:Win32 lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 07.02.2014 (18)
  3. Win32/Small.CA-Virus lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 19.06.2013 (21)
  4. BDS/Zaccess.Q lässt sich nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 08.03.2012 (6)
  5. Rootkit lässt sich nicht entfernen Gmer stürzt mit Bluescreen ab!
    Plagegeister aller Art und deren Bekämpfung - 12.11.2011 (13)
  6. rootkit tdss.d lässt sich nicht entfernen
    Log-Analyse und Auswertung - 27.10.2011 (60)
  7. Rootkit.Win32.ZAccess.c lässt sich nicht entfernen
    Mülltonne - 02.09.2011 (1)
  8. TR/Rootkit.Gen3 lässt sich nicht entfernen
    Log-Analyse und Auswertung - 25.09.2010 (6)
  9. win32.autorun.tmp lässt sich nicht entfernen
    Log-Analyse und Auswertung - 10.09.2010 (56)
  10. rootkit.win32.tdss.d lässt sich nicht löschen oder desinfizieren!
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (43)
  11. win32.autorun.tmp lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (33)
  12. Rootkit.Win32.TDSS.d lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (15)
  13. Win32:Trojan-gen lässt sich nicht entfernen
    Log-Analyse und Auswertung - 19.02.2009 (5)
  14. Rootkit.Win32.Podnuha.bhm lässt sich nicht löschen.
    Mülltonne - 26.11.2008 (0)
  15. Win32.Agent.Pz lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 05.10.2007 (2)
  16. Adware.Win32.Stud.a <<>> lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.08.2007 (3)
  17. REMON.SYS TROJAN Rootkit.Agent.AB lässt sich nicht entfernen HILFE !!!
    Plagegeister aller Art und deren Bekämpfung - 14.11.2005 (1)

Zum Thema Rootkit.Win32.ZAccess.c lässt sich nicht entfernen - Hallo erstmal, dieser tolle Rootkit hat sich auf einen Windows 2003 R2 Server breit gemacht. Es sei vielleicht noch erwähnt das daran fünf Thin Clients angeschlossen sind. Ich wurde darauf - Rootkit.Win32.ZAccess.c lässt sich nicht entfernen...
Archiv
Du betrachtest: Rootkit.Win32.ZAccess.c lässt sich nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.