Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: drive-by Infektion

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.02.2012, 21:53   #16
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



2. hier das Ergebnis von CCleaner
Code:
ATTFilter
3D-Viewer-innoplus	INNOVA-engineering GmbH	22.09.2011	2,74MB	13.01.16
AAVUpdateManager	Akademische Arbeitsgemeinschaft	25.06.2011	18,5MB	16.00.0000
Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	08.02.2012		10.3.181.34
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	08.02.2012		10.2.159.1
Adobe Photoshop Album 2.0	Adobe Systems, Inc.	08.02.2012		2.0
Adobe SVG Viewer 3.0		08.02.2012		 3.0
Agfa FotoLook 3.60.00		09.02.2012		
ALNO AG  Küchenplaner	ALNO AG	11.04.2011		0.98a
Apple Application Support	Apple Inc.	22.01.2012	62,9MB	2.1.6
Apple Mobile Device Support	Apple Inc.	22.01.2012	24,3MB	4.0.0.97
Apple Software Update	Apple Inc.	22.01.2012	2,38MB	2.1.3.127
Avid Pro Tools SE 8.0.3	Digidesign, ein Geschäftsbereich von Avid Technology, Inc.	26.07.2011		8.0.3
Bonjour	Apple Inc.	22.01.2012	1,03MB	3.0.0.10
Broadcom Management Programs	Broadcom Corporation	05.04.2011	8,99MB	11.67.01
BurnInTest v6.0 Pro	Passmark Software	28.04.2011		6.0
Canon i9950		09.02.2012		
CCleaner	Piriform	09.02.2012		3.15
Click to Call with Skype	Skype Technologies S.A.	22.08.2011	13,4MB	5.6.8153
ESBCalc	ESB Consultancy	03.12.2011		7.3.0.0
ESET Online Scanner v3		08.02.2012		
FileZilla Client 3.2.7.1		08.02.2012		3.2.7.1
Foxit Reader 5.1	Foxit Corporation	08.01.2012		5.1.4.104
FreeCommander 2009.02b	Marek Jasinski	03.12.2011		2009.02
FreePDF (Remove only)		09.02.2012		
GIMP 2.6.11	The GIMP Team	08.01.2012		2.6.11
Google Earth	Google	19.11.2011	92,8MB	6.1.0.5001
GPL Ghostscript 8.71		08.02.2012		
HHD Software Hex Editor Neo 4.97	HHD Software, Ltd.	09.02.2012		4.97.2.3667
Horland's Scan2Pdf	Horland Software	03.12.2011		2.2.0.0
ImgBurn	LIGHTNING UK!	03.12.2011		2.5.6.0
Intel(R) Graphics Media Accelerator Driver	Intel Corporation	09.02.2012		
Intel(R) Management Engine Interface	Intel Corporation	09.02.2012		
Intel(R) Network Connections 15.2.89.2	Intel	05.06.2011		15.2.89.2
Intel(R) PRO Intelligent Installer	Intel	05.06.2011	3,50MB	2.02.0000
Interlok driver setup x32	PACE Anti-Piracy	26.07.2011	0,12MB	5.8.13
iPhoneBrowser	Cranium Consulting and Custom Software	22.01.2012	0,41MB	1.9.3
iTunes	Apple Inc.	22.01.2012	171,0MB	10.5.3.3
Java(TM) 6 Update 17	Sun Microsystems, Inc.	09.10.2011	97,7MB	6.0.170
LibreOffice 3.4	LibreOffice	09.11.2011	497MB	3.4.402
Logoi Hellenikoi Version 1.1		29.11.2011		1.1
M-Audio MobilePre Driver 1.0.4 (x86)	M-Audio	26.07.2011	5,79MB	1.0.4
Macromedia Shockwave Player		08.02.2012		
MadOnion.com/3DMark2001 SE		08.02.2012		
Malwarebytes' Anti-Malware Version 1.51.2.1300	Malwarebytes Corporation	21.10.2011		1.51.2.1300
Microsoft .NET Framework 1.1		11.01.2012		
Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation	23.01.2012	184,9MB	2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation	23.01.2012	209MB	3.2.30729
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	23.01.2012		
Microsoft Silverlight	Microsoft Corporation	27.08.2011	19,4MB	4.0.60531.0
Microsoft User-Mode Driver Framework Feature Pack 1.9	Microsoft Corporation	21.11.2011		
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	04.07.2011	5,25MB	8.0.59193
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	12.04.2011	10,3MB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	29.06.2011	10,2MB	9.0.30729.4148
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319	Microsoft Corporation	29.06.2011	11,0MB	10.0.30319
MozBackup 1.5.1	Pavel Cvrcek	08.02.2012		
Mozilla Firefox (3.6.25)	Mozilla	09.02.2012		3.6.25 (de)
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	16.06.2011	2,67MB	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	19.06.2011	2,77MB	4.20.9876.0
Nero - Burning Rom	ahead software gmbh	16.08.2011	66,5MB	5.5.9
Network Time Protocol		08.02.2012		4.2.4p5@beijing-o
Nmap 5.51		08.02.2012		
Nokia Connectivity Cable Driver	Nokia	21.11.2011	3,61MB	7.1.48.0
Nokia Suite	Nokia	21.11.2011		3.2.100.0
PC Connectivity Solution	Nokia	21.11.2011	14,7MB	11.5.13.0
PC Inspector smart recovery		08.02.2012		4.50
PDF Complete Special Edition	PDF Complete, Inc	08.02.2012		3.5.109
PL-2303 USB-to-Serial	Prolific Technology INC	12.04.2011		1.3.0
Raw Therapee V4.0.4.2 x86	Raw Therapee Team	03.12.2011	46,3MB	4.0.402
RedMon - Redirection Port Monitor		09.02.2012		
Roxio Drag-to-Disc	Roxio	25.06.2011	10,8MB	9.1
SeaMonkey (1.1.19)		09.02.2012		
Shareaza Version 2.2.1.0	Shareaza Development Team	08.02.2012		2.2.1.0
Skype™ 5.5	Skype Technologies S.A.	22.08.2011	17,0MB	5.5.113
SoundMAX	Analog Devices	06.04.2011		5.10.01.5880
SpeedFan (remove only)		08.02.2012		
Steuer-Spar-Erklärung 2010	Akademische Arbeitsgemeinschaft Verlag	03.11.2011	240MB	15.14
Steuer-Spar-Erklärung 2011	Akademische Arbeitsgemeinschaft Verlag	20.10.2011	383MB	16.14
UltraVNC 1.0.8.2	1.0.8.2	11.04.2011		1.0.8.2
Viewpoint Media Player		08.02.2012		
VLC media player 1.1.11	VideoLAN	09.02.2012		1.1.11
Winamp	Nullsoft, Inc	09.02.2012		5.57 
Windows Genuine Advantage Validation Tool (KB892130)	Microsoft Corporation	07.04.2011		
Windows Internet Explorer 8	Microsoft Corporation	07.04.2011		20090308.140743
Windows Media Format 11 runtime		09.02.2012		
Windows Resource Kit Tools	Microsoft Corporation	11.04.2011	18,7MB	5.2.3790
Windows Support Tools	Microsoft Corporation	05.04.2011	5,65MB	5.1.2600.5512
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)	Nokia	08.02.2012		08/22/2008 7.0.0.0
WinPcap 4.1.2	CACE Technologies	08.02.2012		4.1.0.2001
WinRAR		09.02.2012		
Wireshark 0.99.7	The Wireshark developer community, hxxp://www.wireshark.org	08.02.2012		0.99.7
         

Alt 09.02.2012, 23:44   #17
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



combofix.log und otl &extra log
Angehängte Dateien
Dateityp: txt log.txt (14,6 KB, 157x aufgerufen)
Dateityp: txt OTL5.Txt (83,6 KB, 139x aufgerufen)
Dateityp: txt Extras5.Txt (34,4 KB, 133x aufgerufen)
__________________


Geändert von popeye2 (10.02.2012 um 00:07 Uhr)

Alt 10.02.2012, 09:23   #18
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion



1.
Zitat:
Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)
Fixen mit OTL
  • Starte die OTL.exe.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Kopiere folgendes Skript:
Code:
ATTFilter
:OTL
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
@Alternate Data Stream - 48 bytes -> D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت

:Commands
[purity]
[emptytemp]
         
  • und füge es hier ein:
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf .
  • OTL verlangt einen Neustart. Bitte zulassen.
  • Nach dem Neustart findest Du ein Textdokument.
    Kopiere den Inhalt hier in Deinen Thread.

2.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 30 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

3.
reinige dein System mit CCleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

4.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung

6.
-> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch
Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?
__________________
__________________

Alt 10.02.2012, 09:27   #19
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



Hi,
dein support ist echt unermüdlich
Verreise übers WE und melde mich So abend oder Montag wieder.

Alt 10.02.2012, 09:49   #20
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion



Ist in Ordnung, ich wünsche Dir eine schöne Reise

__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 12.02.2012, 20:58   #21
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



zu 1:
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
ADS D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: ****
->Temp folder emptied: 49632 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ntp
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: **
->Temp folder emptied: 129752 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 2731666 bytes
->Flash cache emptied: 0 bytes
 
User: ***
->Temp folder emptied: 31334 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 50115 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 3,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 02122012_205145

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         
zu 2: Ich habe die letzte Version, die noch mit Seamonkey 1.19 arbeitet installiert. Die neueren gehen gehen nur mehr mit S.M ab 2.0 und neuer.
edit
3) ist durch
4 ) hat 819 cookies gefunden und 14 angebliche Trojaner. Das hat einen Neustart erfordert
Wo steht die Logdatei?

Geändert von popeye2 (12.02.2012 um 21:48 Uhr)

Alt 12.02.2012, 22:27   #22
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



Hi,
hier der log bericht von S.A.S.
Code:
ATTFilter
Trojan.AGENT/Gen-Sirefef
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065006.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065015.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065074.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065086.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065099.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065119.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0065956.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066183.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066262.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066279.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066291.SYS
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066301.SYS

Trojan.Agent/Gen-Proxyier
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{09325496-3B6D-45E0-AC3B-6991FBA2284E}\RP216\A0066169.EXE
         
die cookies hab ich mal weggelassen ...
neuer mbam scan:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.06.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: WOLFI [Administrator]

12.02.2012 22:34:43
mbam-log-2012-02-12 (22-34-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 333824
Laufzeit: 34 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{C46F5E91-E789-CB89-5A11-A893D8A9D1B9} (Trojan.ZbotR.Gen) -> Daten: "D:\Dokumente und Einstellungen\***\Anwendungsdaten\Utpime\zeevu.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Utpime\zeevu.exe (Trojan.ZbotR.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Geändert von popeye2 (12.02.2012 um 23:20 Uhr)

Alt 13.02.2012, 00:28   #23
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



das schreibt gmer
interessanterweise ist super-anti -spyware der Übeltäter ?!
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-02-13 00:23:26
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16 WDC_WD3200BEVT-63ZCT0 rev.11.01A11
Running: gmehr.exe; Driver: D:\DOKUME~1\***\LOKALE~1\Temp\pxtdqpob.sys


---- System - GMER 1.0.15 ----

SSDT     \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.SYS                                                                      ZwTerminateProcess [0xA9200640]

---- Kernel code sections - GMER 1.0.15 ----

?        ovao.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !
.text    netbt.sys                                                                                                           A9263000 77 Bytes  [89, 01, 81, 7D, 10, 16, 00, ...]
.text    netbt.sys                                                                                                           A926304E 77 Bytes  [47, 18, 8B, 70, 0C, 85, F6, ...]
.text    netbt.sys                                                                                                           A926309C 71 Bytes  [4F, 5C, FF, 15, 80, D0, 27, ...]
.text    netbt.sys                                                                                                           A92630E4 52 Bytes  [89, 46, E4, 8B, 03, 83, EE, ...]
.text    netbt.sys                                                                                                           A9263119 33 Bytes  [50, 89, 45, F0, 89, 46, 18, ...]
.text    ...                                                                                                                 
?        D:\WINDOWS\system32\DRIVERS\netbt.sys                                                                               suspicious PE modification
?        D:\Programme\SUPERAntiSpyware\SASKUTIL.SYS                                                                          Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text    D:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtProtectVirtualMemory                                              7C91D6EE 5 Bytes  JMP 00FC000A 
.text    D:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtWriteVirtualMemory                                                7C91DFAE 5 Bytes  JMP 00FD000A 
.text    D:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!KiUserExceptionDispatcher                                           7C91E47C 5 Bytes  JMP 00FB000C 
?        D:\WINDOWS\System32\svchost.exe[1100] D:\WINDOWS\System32\smss.exe                                                  image checksum mismatch; time/date stamp mismatch; 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT      \SystemRoot\system32\DRIVERS\netbt.sys[HAL.dll!KfLowerIrql]                                                         11850FA9
IAT      \SystemRoot\system32\DRIVERS\netbt.sys[HAL.dll!KeGetCurrentIrql]                                                    38FFFFC2
IAT      \SystemRoot\system32\DRIVERS\netbt.sys[HAL.dll!KfRaiseIrql]                                                         850FFF5D

---- User IAT/EAT - GMER 1.0.15 ----

IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtTerminateProcess]                 83EC8B55
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtRaiseHardError]                   458D74EC
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitUnicodeString]               15FF50F8
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAdjustPrivilege]                 [0284F014] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFreeHeap]                        01FC7531
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUpcaseUnicodeChar]               458DF875
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnicodeStringToInteger]          15FF508C
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAllocateHeap]                    [0284F004] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFreeUnicodeString]               458D086A
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgPrintEx]                         458D50F8
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExtendedIntegerMultiply]         15FF508C
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryVolumeInformationFile]       [0284F000] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenFile]                         508C458D
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtClose]                            F00815FF
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcslen]                             458B0284
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcscpy]                             E84533E4
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationProcess]          33EC4533
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreatePagingFile]                 C3C9F045
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationFile]               8BEC8B55
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationFile]             EC833040
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgPrint]                           57565314
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQuerySystemInformation]           D98B388B
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_allmul]                            EB04708D
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetSecurityObject]                46B70F20
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetOwnerSecurityDescriptor]      30448D1A
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetDaclSecurityDescriptor]       F0F0681C
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAddAccessAllowedAce]             4F500284
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateAcl]                       00DCAFE8
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateSecurityDescriptor]        85595900
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAllocateAndInitializeSid]        811374C0
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDosPathNameToNtPathName_U]       00011CC6
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExpandEnvironmentStrings_U]      75FF8500
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryValueKey]                    5FC033DC
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!swprintf]                           C2C95B5E
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenKey]                          468B0008
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetValueKey]                      F4458908
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateKey]                        8B0C468B
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateFile]                       45890473
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReadFile]                         74F685F0
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_chkstk]                            D8BB8D77
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcsstr]                             57000000
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_wcsupr]                            85015068
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtMakeTemporaryObject]              8D426A02
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateSymbolicLinkObject]         4E50FC45
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenDirectoryObject]              F0E015FF
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcsncpy]                            C0850284
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAnsiStringToUnicodeString]       458D537C
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitAnsiString]                  046A50EC
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_stricmp]                           50F8458D
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateSection]                    75FF096A
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrVerifyImageMatchesChecksum]      DC15FFFC
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateDirectoryObject]            850284F0
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetEnvironmentVariable]          8B317CC0
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrUnloadDll]                       452BF845
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrGetProcedureAddress]             F0453BF4
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitString]                      [006A2673] D:\WINDOWS\System32\xpsp2res.dll (Service Pack 2-Meldungen/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrLoadDll]                         FFFC75FF
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCompareUnicodeString]            84F0D415
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEqualString]                     7CC08502
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!memmove]                            0C4D8B17
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!_wcsicmp]                           1F8B018B
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUnicodeString]             8908558B
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDosSearchPath_U]                 5F8BC21C
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlQueryEnvironmentVariable_U]      C25C8904
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEqualUnicodeString]              01894004
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAppendUnicodeToString]           FFFC75FF
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlAppendUnicodeStringToString]     84F0D815
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtWaitForSingleObject]              40C78302
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtResumeThread]                     8F75F685
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlDestroyProcessParameters]        E940C033
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUserProcess]               FFFFFF67
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateProcessParameters]         51EC8B55
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnlockBootStatusData]            0173A051
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlGetSetBootStatusData]            56530285
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLockBootStatusData]              C0BE0F57
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDisplayString]                    7D89FF33
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!sprintf]                            DC2AE8F8
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDuplicateObject]                  DC8B0000
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLengthSid]                       45C7F633
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlGetAce]                          001000FC
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlPrefixUnicodeString]             FC458B00
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQuerySymbolicLinkObject]          0F73F83B
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenSymbolicLinkObject]           11E8C72B
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryDirectoryObject]             8B0000DC
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtRequestWaitReplyPort]             2BC38BF4
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlFindMessage]                     8DF88BC6
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetEvent]                         5750FC45
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetSystemInformation]             FF056A56
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreateEvent]                      84F0D015
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlLeaveCriticalSection]            00043D02
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlEnterCriticalSection]            D574C000
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!wcscat]                             047DC085
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!LdrQueryImageFileExecutionOptions]  60EBC033
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDelayExecution]                   F003C033
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtInitializeRegistry]               468D016A
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlQueryRegistryValues]             18685038
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtDeleteValueKey]                   FF0284F1
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateEnvironment]               84F0CC15
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateUserThread]                75C08402
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCreatePort]                       85068B08
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlInitializeCriticalSection]       EBE375C0
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationProcess]            [68006A3C] D:\WINDOWS\System32\rsaenh.dll (Microsoft Enhanced Cryptographic Provider/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlCreateTagHeap]                   00040000
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtSetInformationThread]             F07415FF
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryInformationToken]            F88B0284
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenThreadToken]                  2974FF85
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtImpersonateClientOfPort]          FF016A57
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtConnectPort]                      15FF4476
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtCompleteConnectPort]              [0284F020] D:\WINDOWS\System32\smss.exe (Windows NT-Sitzungs-Manager/Microsoft Corporation)
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtAcceptConnectPort]                127CC085
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenProcess]                      8B0C75FF
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReplyWaitReceivePort]             0875FFCE
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlExitUserThread]                  81E8C78B
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtReplyPort]                        89FFFFFE
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetThreadIsCritical]             FF57F845
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtWaitForMultipleObjects]           84F02415
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlSetProcessIsCritical]            F8458B02
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnicodeStringToAnsiString]       5FEC658D
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtAdjustPrivilegesToken]            C2C95B5E
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtOpenProcessToken]                 8B550008
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnhandledExceptionFilter]        3CEC81EC
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlUnwind]                          56000002
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!NtQueryVirtualMemory]               E856F08B
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!DbgBreakPoint]                      0000DB36
IAT      D:\WINDOWS\System32\svchost.exe[1100] @ D:\WINDOWS\System32\smss.exe [ntdll.dll!RtlNormalizeProcessParams]          [00803D59] D:\WINDOWS\System32\xpsp2res.dll (Service Pack 2-Meldungen/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device   \FileSystem\Cdfs \Cdfs                                                                                              DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Modules - GMER 1.0.15 ----

Module   (noname) (*** hidden *** )                                                                                          BA2A8000-BA2B8000 (65536 bytes)                                                                              
---- Processes - GMER 1.0.15 ----

Library  D:\Programme\SUPERAntiSpyware\SASSEH.DLL (*** hidden *** ) @ D:\WINDOWS\Explorer.EXE [348]                          0x10000000                                                                                                   
Library  D:\Programme\SUPERAntiSpyware\SASWINLO.DLL (*** hidden *** ) @ D:\WINDOWS\system32\winlogon.exe [728]               0x10000000                                                                                                   

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                    
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                 0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                              0x31 0x1D 0x8E 0xE9 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                     0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                  0x31 0x1D 0x8E 0xE9 ...
Reg      HKLM\SOFTWARE\Classes\{1A493EAC-93D3-4646-B911-4697A475FF4B}                                                        
Reg      HKLM\SOFTWARE\Classes\{1A493EAC-93D3-4646-B911-4697A475FF4B}@                                                       0xB9 0xB5 0x0C 0xE1 ...
Reg      HKLM\SOFTWARE\Classes\{20EF7B60-CE85-4048-A409-02CB203268EE}                                                        
Reg      HKLM\SOFTWARE\Classes\{20EF7B60-CE85-4048-A409-02CB203268EE}@                                                       0xA3 0x54 0xEB 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{242E582C-66A8-478C-8BCA-0AF9F1D38D39}                                                        
Reg      HKLM\SOFTWARE\Classes\{242E582C-66A8-478C-8BCA-0AF9F1D38D39}@                                                       0x18 0xA4 0xDA 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{29638F0C-042B-4B50-A2D2-8E8E7CA71E4F}                                                        
Reg      HKLM\SOFTWARE\Classes\{29638F0C-042B-4B50-A2D2-8E8E7CA71E4F}@                                                       0xD5 0xBA 0x90 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{3B84C2D7-708C-48EF-8ED7-0C5FC0F030C6}                                                        
Reg      HKLM\SOFTWARE\Classes\{3B84C2D7-708C-48EF-8ED7-0C5FC0F030C6}@                                                       0x1D 0x82 0x57 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{47BF077C-44C6-42B1-8F88-ADE2585DD2ED}                                                        
Reg      HKLM\SOFTWARE\Classes\{47BF077C-44C6-42B1-8F88-ADE2585DD2ED}@                                                       0x15 0x0E 0x07 0xE2 ...
Reg      HKLM\SOFTWARE\Classes\{787E3340-6D04-4BF3-BCC2-2AD3630471CE}                                                        
Reg      HKLM\SOFTWARE\Classes\{787E3340-6D04-4BF3-BCC2-2AD3630471CE}@                                                       0xA3 0x71 0x06 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{92561398-2ED8-42AF-86E2-66FA8E9DC46E}                                                        
Reg      HKLM\SOFTWARE\Classes\{92561398-2ED8-42AF-86E2-66FA8E9DC46E}@                                                       0x1A 0x30 0xA6 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{97A98033-9FA1-4E80-A339-59787B43CC89}                                                        
Reg      HKLM\SOFTWARE\Classes\{97A98033-9FA1-4E80-A339-59787B43CC89}@                                                       0xD7 0x0C 0x26 0xE2 ...
Reg      HKLM\SOFTWARE\Classes\{A82EB336-567D-4F41-A63E-8113AD8B6903}                                                        
Reg      HKLM\SOFTWARE\Classes\{A82EB336-567D-4F41-A63E-8113AD8B6903}@                                                       0x2F 0x6F 0x44 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{B67DA794-42D6-4DFE-AE29-0334338228C9}                                                        
Reg      HKLM\SOFTWARE\Classes\{B67DA794-42D6-4DFE-AE29-0334338228C9}@                                                       0x93 0x84 0x19 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{C4B20040-7D5A-4558-9E19-B7DF94366F97}                                                        
Reg      HKLM\SOFTWARE\Classes\{C4B20040-7D5A-4558-9E19-B7DF94366F97}@                                                       0xA3 0x1A 0xB5 0xE2 ...
Reg      HKLM\SOFTWARE\Classes\{C514227C-0AF4-44BB-816A-E9483A4302C9}                                                        
Reg      HKLM\SOFTWARE\Classes\{C514227C-0AF4-44BB-816A-E9483A4302C9}@                                                       0x30 0x91 0xC7 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{C55AC07F-5B51-486C-811A-750184298D58}                                                        
Reg      HKLM\SOFTWARE\Classes\{C55AC07F-5B51-486C-811A-750184298D58}@                                                       0x8B 0x67 0xFE 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{C7A40493-BF23-4B53-AB2A-4A923B3EE34B}                                                        
Reg      HKLM\SOFTWARE\Classes\{C7A40493-BF23-4B53-AB2A-4A923B3EE34B}@                                                       0x9D 0xBE 0x33 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{E14E55A7-29C8-4389-8E5A-3EF964510FCA}                                                        
Reg      HKLM\SOFTWARE\Classes\{E14E55A7-29C8-4389-8E5A-3EF964510FCA}@                                                       0x4B 0xD0 0x65 0xE0 ...
Reg      HKLM\SOFTWARE\Classes\{F5E30566-7C8F-4037-A8FF-A7382E251C56}                                                        
Reg      HKLM\SOFTWARE\Classes\{F5E30566-7C8F-4037-A8FF-A7382E251C56}@                                                       0x02 0x43 0xB9 0xE0 ...

---- Files - GMER 1.0.15 ----

File     D:\WINDOWS\$NtUninstallKB14502$\2385777509                                                                          0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346                                                                          0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\@                                                                        2048 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\cfg.ini                                                                  280 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\Desktop.ini                                                              4608 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\L                                                                        0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\L\uonarkpi                                                               162816 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U                                                                        0 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000001.@                                                             2048 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000002.@                                                             224768 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\00000004.@                                                             1024 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000000.@                                                             66560 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000004.@                                                             12800 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\U\80000032.@                                                             73216 bytes
File     D:\WINDOWS\$NtUninstallKB14502$\2984020346\version                                                                  856 bytes

---- EOF - GMER 1.0.15 ----
         
Angehängte Dateien
Dateityp: txt OTL6.Txt (85,0 KB, 139x aufgerufen)
Dateityp: txt Extras6.Txt (34,7 KB, 159x aufgerufen)

Geändert von popeye2 (13.02.2012 um 00:37 Uhr)

Alt 13.02.2012, 08:46   #24
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion



die Schritte 5. und 6.?:-> http://www.trojaner-board.de/109267-...tml#post769563

1.
Code:
ATTFilter
Shareaza
         
die Nutzung der von Filesharing (Filesharing (deutsch "Dateifreigabe" oder "gemeinsamer Dateizugriff", wörtlich "Dateien teilen") )- Plattformen ...
Zitat:
Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!
Selbst wenn du glaubst, dass Du ein „sicheres“ P2P Programm verwendest, nicht mal das Programm selbst sicher, da Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...
Ausserdem nicht nur trojanische Pferde oder andere Virentypen eine direkt Verbindung brauchen, sondern der Verwendung von µtorrent & Co, "telefonieren auch nach Hause", wenn auch noch keine Beweise vorliegen (zumindest teilweise nicht) und solchen Clients erlaubt, würde ich nicht empfehlen!
Solange du solche Programme auf dein PC hast, wirst Du Dich laufend mit etwas Problematik konfrontieren müssen!

2.
Zitat:
Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)
Fixen mit OTL
  • Starte die OTL.exe.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Kopiere folgendes Skript:
Code:
ATTFilter
:OTL
[2011.04.11 20:55:35 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\***\Anwendungsdaten\Shareaza
@Alternate Data Stream - 48 bytes -> D:\Dokumente und Einstellungen\All Users\DRM:مايكروسوفت

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\Shareaza\Shareaza.exe" =-

:Commands
[purity]
[emptytemp]
         
  • und füge es hier ein:
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf .
  • OTL verlangt einen Neustart. Bitte zulassen.
  • Nach dem Neustart findest Du ein Textdokument.
    Kopiere den Inhalt hier in Deinen Thread.

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 13.02.2012, 09:16   #25
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



Hi Kira,
Shareaza nutzt ich seit Jahren nicht mehr. War damals als es noch keine schnellen 1-click Hoster gab praktisch , um z.B. sich ein Linux CD Image in angemessener Zeit zu holen.
Von manchen Distis gab es Vorabversionen nur per torrent oder chronisch überlasteten Uni ftp servern.
Siehst du vielleicht auch an der Versionsnummer, dass Shareaza alt ist. Ich glaube auch dass es gar nicht mehr installiert ist sondern die Programmdatei vom alten PC nur vom Backup eingespielt wurde (der hatte noch w2k)
Wenn es gegen die Regeln von Trojaner-board verstößt, tut es mir leid.
5. und 6. hab ich noch nicht gemacht da der Rechner wieder offline ist

Alt 13.02.2012, 20:28   #26
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



das rootkit ist weiterhin da
noch mal combofix probieren?
Miniaturansicht angehängter Grafiken
drive-by Infektion-tdskiller.jpg  
Angehängte Dateien
Dateityp: txt 02132012_200635.log.txt (4,3 KB, 122x aufgerufen)

Geändert von popeye2 (13.02.2012 um 20:35 Uhr)

Alt 13.02.2012, 23:21   #27
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



hier noch ein Log von aswmbr.
GMER schreit auch noch

Alt 14.02.2012, 08:09   #28
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



ups
da sind die Anhänge
Angehängte Dateien
Dateityp: txt gmer3.log.txt (27,0 KB, 141x aufgerufen)
Dateityp: txt aswMBR5.txt (3,2 KB, 155x aufgerufen)

Alt 14.02.2012, 20:09   #29
kira
/// Helfer-Team
 
drive-by Infektion - Standard

drive-by Infektion



Zitat:
win32.ZAccess
tja...da würde ich an Deiner Stelle das System gleich neu installieren, da die Bekämpfung diese neue Art der Infektion fast unmöglich ist. Genau gesagt, nur mit div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können

Tipps & Hilfe:
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Neuaufsetzen (Windows XP, Vista und Windows 7) - Anleitungen

Nachdem Du dein System neu installiert hast:

Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, eventuell auch die PIN für das Online-Banking)
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 14.02.2012, 20:12   #30
popeye2
 
drive-by Infektion - Standard

drive-by Infektion



Hi Kira,
Eben noch mal OTL gescannt:
Leider sind wieder alle Vruskomponenten da.
Gibt es noch eine Chance?
Habe schon mal Ultimate boot cd (UBCD) geladen und gebrannt. Damit sollte es doch möglich sein (unter Linux) alle Viren Files zu entfernen und den MBR wiederherzustellen (und nicht irgend eine gespiegelte Kopie wenn Windoof läuft)
GMER findet einen Teil des Virencodereservoirs ($NtUninstallKB14502$). Das ist unter Windows aber zugriffsgesperrt. Logischerweis emüsste ich bei externem "Töten" alle weiteren Virenquellen mit beseitigen, sonst baut sich alles wieder auf...
Kennst du einen brauchbaren Linuxvirenscanner? Dann könnte ich den mal mit der UBCD starten.

Oder doch ???
Angehängte Dateien
Dateityp: txt OTL7.Txt (75,6 KB, 148x aufgerufen)

Antwort

Themen zu drive-by Infektion
80000000.@, alert, aswmbr, avast, classpnp.sys, computer, dateisystem, desktop.ini, diverse, drive-by infektion, einstellungen, fake, gelöscht, hal.dll, harddisk, heuristiks/extra, heuristiks/shuriken, infected, internet, kaputt, log, log file, ntdll.dll, registry, scan, sekunden, software, svchost.exe, system, temp, trojaner, windows, windows xp, wireshark, öffnet



Ähnliche Themen: drive-by Infektion


  1. Drive by für iPhone?
    Smartphone, Tablet & Handy Security - 22.12.2014 (2)
  2. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  3. Java Drive By
    Log-Analyse und Auswertung - 07.03.2014 (3)
  4. NoScript und Drive-by-Downloads
    Antiviren-, Firewall- und andere Schutzprogramme - 13.12.2013 (9)
  5. Bestmöglicher Schutz vor drive-by-Infektionen
    Diskussionsforum - 14.07.2013 (74)
  6. Drive-by-download & live-System
    Diskussionsforum - 03.05.2013 (3)
  7. Drive-By-Variante von BKA UKash ?
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (21)
  8. AKM / BMI Trojaner, OTL via USB-Drive
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (1)
  9. Drive-By Infektion und seine Folgen (Bank Phishing)
    Antiviren-, Firewall- und andere Schutzprogramme - 03.04.2012 (9)
  10. Windows 8: Die Rückkehr des Drive Extenders
    Nachrichten - 06.01.2012 (0)
  11. Drive-by-Installation
    Anleitungen, FAQs & Links - 17.09.2010 (1)
  12. Solid State Drive (SSD)
    Netzwerk und Hardware - 28.03.2010 (7)
  13. Drive Cleaner auf Mac - gefährlich?
    Plagegeister aller Art und deren Bekämpfung - 01.10.2007 (3)
  14. Paragon Drive Backup 2007
    Alles rund um Windows - 24.09.2007 (6)
  15. Drive Cleaner
    Plagegeister aller Art und deren Bekämpfung - 15.06.2007 (7)
  16. Drive Cleaner Pop Up
    Log-Analyse und Auswertung - 27.03.2007 (3)
  17. Samsung 48x12x40 CD-RW-Drive?
    Netzwerk und Hardware - 08.01.2003 (14)

Zum Thema drive-by Infektion - 2. hier das Ergebnis von CCleaner Code: Alles auswählen Aufklappen ATTFilter 3D-Viewer-innoplus INNOVA-engineering GmbH 22.09.2011 2,74MB 13.01.16 AAVUpdateManager Akademische Arbeitsgemeinschaft 25.06.2011 18,5MB 16.00.0000 Adobe Flash Player 10 ActiveX Adobe Systems - drive-by Infektion...
Archiv
Du betrachtest: drive-by Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.