Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.02.2012, 12:26   #1
Fasching
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Hi, ich hatte kürzlich das Gefühl, dass irgendwie mein PC langsamer geworden ist und habe darum diverse Virenscans mit Avira und Malwarebytes durchgeführt.

Dabei wurde auch einiges gefunden und entfernt, aber jetzt meldet Malwarebytes ziemlich regelmäßig, dass mein Pc versucht eine unsichere ip anzuwählen.
Hier mal das Log dazu:

2012/02/08 06:57:31 +0100 ZITRONAT MESSAGE Starting protection
2012/02/08 06:57:36 +0100 ZITRONAT Fabi MESSAGE Protection started successfully
2012/02/08 06:57:39 +0100 ZITRONAT Fabi MESSAGE Starting IP protection
2012/02/08 06:57:40 +0100 ZITRONAT Fabi MESSAGE IP Protection started successfully
2012/02/08 06:58:57 +0100 ZITRONAT Fabi MESSAGE Executing scheduled update: Daily
2012/02/08 06:59:04 +0100 ZITRONAT Fabi MESSAGE Starting database refresh
2012/02/08 06:59:04 +0100 ZITRONAT Fabi MESSAGE Scheduled update executed successfully: database updated from version v2012.02.07.01 to version v2012.02.08.01
2012/02/08 06:59:04 +0100 ZITRONAT Fabi MESSAGE Stopping IP protection
2012/02/08 06:59:04 +0100 ZITRONAT Fabi MESSAGE IP Protection stopped
2012/02/08 06:59:07 +0100 ZITRONAT Fabi MESSAGE Database refreshed successfully
2012/02/08 06:59:07 +0100 ZITRONAT Fabi MESSAGE Starting IP protection
2012/02/08 06:59:08 +0100 ZITRONAT Fabi MESSAGE IP Protection started successfully
2012/02/08 07:16:53 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 07:16:56 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 07:17:02 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 07:17:14 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 07:17:17 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 07:17:23 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 07:21:27 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 07:21:27 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 07:21:30 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 07:21:36 +0100 ZITRONAT Fabi IP-BLOCK 217.199.218.131 (Type: outgoing)
2012/02/08 11:42:33 +0100 ZITRONAT MESSAGE Starting protection
2012/02/08 11:42:38 +0100 ZITRONAT Fabi MESSAGE Protection started successfully
2012/02/08 11:42:41 +0100 ZITRONAT Fabi MESSAGE Starting IP protection
2012/02/08 11:42:42 +0100 ZITRONAT Fabi MESSAGE IP Protection started successfully
2012/02/08 12:06:42 +0100 ZITRONAT Fabi MESSAGE Stopping IP protection
2012/02/08 12:06:42 +0100 ZITRONAT Fabi MESSAGE IP Protection stopped
2012/02/08 12:20:20 +0100 ZITRONAT Fabi MESSAGE Starting IP protection
2012/02/08 12:20:21 +0100 ZITRONAT Fabi MESSAGE IP Protection started successfully


Ich habe wie in der Anleitung auch die anderen Logs erstellen lassen:

dds:
.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 6.0.2900.5512
Run by Fabi at 11:59:23 on 2012-02-08
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1459 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Opera\opera.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\programme\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre7\bin\jp2ssv.dll
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File
uRun: [{D7140DF2-21F9-2486-90CB-3ECEB013E76A}] "c:\dokumente und einstellungen\fabi\anwendungsdaten\enom\ehpaugn.exe"
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Malwarebytes' Anti-Malware] "c:\programme\malwarebytes' anti-malware\mbamgui.exe" /starttray
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
DPF: DirectAnimation Java Classes - file://c:\windows\java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\java\classes\xmldso.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
TCP: DhcpNameServer = 192.168.1.251
TCP: Interfaces\{A7B7E3E3-A83A-45E5-92E6-D00E022CB20D} : DhcpNameServer = 192.168.1.251
.
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-11 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-10-11 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-10-11 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-11 74640]
R2 MBAMService;MBAMService;c:\programme\malwarebytes' anti-malware\mbamservice.exe [2012-2-3 652360]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-2-3 20464]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2011-10-11 1691480]
.
=============== Created Last 30 ================
.
2012-02-03 13:31:32 -------- d-----w- c:\dokumente und einstellungen\fabi\anwendungsdaten\Malwarebytes
2012-02-03 13:31:21 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-02-03 13:31:20 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-03 13:31:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-01-31 21:19:28 -------- d-----w- c:\windows\system32\NtmsData
2012-01-28 12:14:00 -------- d-----w- c:\programme\BSW
2012-01-28 12:14:00 -------- d-----w- c:\dokumente und einstellungen\fabi\anwendungsdaten\BSW
2012-01-17 15:41:46 -------- d-----w- c:\programme\Astonsoft
.
==================== Find3M ====================
.
2011-12-27 19:00:49 17488 ----a-w- c:\windows\gdrv.sys
2011-11-25 22:15:16 101376 ----a-w- c:\windows\system32\drivers\ACEDRV07.sys
2011-11-22 13:46:46 285176 ----a-w- c:\windows\system32\nvdrsdb0.bin
2011-11-22 13:46:46 1 ----a-w- c:\windows\system32\nvdrssel.bin
2011-11-22 13:46:43 285176 ----a-w- c:\windows\system32\nvdrsdb1.bin
2011-11-22 13:06:46 281760 ----a-w- c:\windows\system32\drivers\atksgt.sys
2011-11-22 13:06:46 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
.
============= FINISH: 12:04:44,25 ===============


und GMER:



GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-02-08 12:17:12
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-8 SAMSUNG_HD200HJ rev.KF100-06
Running: 3u98zxo1.exe; Driver: C:\DOKUME~1\Fabi\LOKALE~1\Temp\uxroypob.sys


---- System - GMER 1.0.15 ----

SSDT     B8743B3C                                                                                                 ZwClose
SSDT     B8743AF6                                                                                                 ZwCreateKey
SSDT     B8743B46                                                                                                 ZwCreateSection
SSDT     B8743AEC                                                                                                 ZwCreateThread
SSDT     B8743AFB                                                                                                 ZwDeleteKey
SSDT     B8743B05                                                                                                 ZwDeleteValueKey
SSDT     B8743B37                                                                                                 ZwDuplicateObject
SSDT     B8743B0A                                                                                                 ZwLoadKey
SSDT     B8743AD8                                                                                                 ZwOpenProcess
SSDT     B8743ADD                                                                                                 ZwOpenThread
SSDT     B8743B5F                                                                                                 ZwQueryValueKey
SSDT     B8743B14                                                                                                 ZwReplaceKey
SSDT     B8743B50                                                                                                 ZwRequestWaitReplyPort
SSDT     B8743B0F                                                                                                 ZwRestoreKey
SSDT     B8743B4B                                                                                                 ZwSetContextThread
SSDT     B8743B55                                                                                                 ZwSetSecurityObject
SSDT     B8743B00                                                                                                 ZwSetValueKey
SSDT     B8743B5A                                                                                                 ZwSystemDebugControl
SSDT     B8743AE7                                                                                                 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text    C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                 section is writeable [0xB3172380, 0x8D6CD5, 0xE8000020]
.text    C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                 section is writeable [0xAF706000, 0x328BA, 0xE8000020]
.pklstb  C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                 entry point in ".pklstb" section [0xAF74A000]
.relo2   C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                 unknown last section [0xAF766000, 0x8E, 0x42000040]
.text    C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                   section is writeable [0xAF24F300, 0x3B6D8, 0xE8000020]
.text    C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                   section is writeable [0xB8388300, 0x1BEE, 0xE8000020]
?        C:\DOKUME~1\Fabi\LOKALE~1\Temp\mbr.sys                                                                   Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text    C:\WINDOWS\Explorer.EXE[268] ntdll.dll!NtCreateThread                                                    7C91D190 5 Bytes  JMP 01736FC1 
.text    C:\WINDOWS\Explorer.EXE[268] ntdll.dll!LdrLoadDll                                                        7C9263A3 5 Bytes  JMP 017371A1 
.text    C:\WINDOWS\Explorer.EXE[268] kernel32.dll!GetFileAttributesExW                                           7C811185 5 Bytes  JMP 0173727B 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!ReleaseDC                                                        7E36869D 5 Bytes  JMP 01739DAC 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetDC                                                            7E3686C7 5 Bytes  JMP 01739D2E 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!TranslateMessage                                                 7E368BF6 5 Bytes  JMP 01725895 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetWindowDC                                                      7E369021 5 Bytes  JMP 01739D6D 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetMessageW                                                      7E3691C6 5 Bytes  JMP 01725652 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!PeekMessageW                                                     7E36929B 5 Bytes  JMP 017256A2 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetCapture                                                       7E3694DA 5 Bytes  JMP 017255B3 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!RegisterClassW                                                   7E36A39A 5 Bytes  JMP 01736E83 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!RegisterClassExW                                                 7E36AF7F 5 Bytes  JMP 01736F1D 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!OpenInputDesktop                                                 7E36ECA3 5 Bytes  JMP 01736B11 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!SwitchDesktop                                                    7E36FE6E 5 Bytes  JMP 01736B61 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!DefDlgProcW                                                      7E373D3A 5 Bytes  JMP 01736C0B 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetMessageA                                                      7E37772B 5 Bytes  JMP 0172567A 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!RegisterClassExA                                                 7E377C39 5 Bytes  JMP 01736F6F 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!DefWindowProcW                                                   7E378D20 5 Bytes  JMP 01736B7F 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!BeginPaint                                                       7E378FE9 5 Bytes  JMP 01739C23 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!EndPaint                                                         7E378FFD 5 Bytes  JMP 01739C93 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetCursorPos                                                     7E37974E 5 Bytes  JMP 01725485 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetMessagePos                                                    7E37996C 5 Bytes  JMP 01725453 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!CallWindowProcW                                                  7E37A01E 5 Bytes  JMP 01736DB5 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!PeekMessageA                                                     7E37A340 5 Bytes  JMP 017256CD 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetUpdateRect                                                    7E37A8C9 5 Bytes  JMP 01739DEC 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!CallWindowProcA                                                  7E37A97D 5 Bytes  JMP 01736DFE 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!DefWindowProcA                                                   7E37C17E 5 Bytes  JMP 01736BC5 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!SetCapture                                                       7E37C35E 5 Bytes  JMP 01725509 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!ReleaseCapture                                                   7E37C37A 5 Bytes  JMP 01725563 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetDCEx                                                          7E37C595 5 Bytes  JMP 01739CD3 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!RegisterClassA                                                   7E37EA5E 5 Bytes  JMP 01736ED0 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetUpdateRgn                                                     7E37F5EC 5 Bytes  JMP 01739E7F 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!DefFrameProcW                                                    7E380833 5 Bytes  JMP 01736C97 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!DefMDIChildProcW                                                 7E380A47 5 Bytes  JMP 01736D29 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!GetClipboardData                                                 7E380DBA 5 Bytes  JMP 01725A02 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!DefDlgProcA                                                      7E38E577 5 Bytes  JMP 01736C51 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!DefFrameProcA                                                    7E39F965 5 Bytes  JMP 01736CE0 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!DefMDIChildProcA                                                 7E39F9B4 5 Bytes  JMP 01736D6F 
.text    C:\WINDOWS\Explorer.EXE[268] USER32.dll!SetCursorPos                                                     7E3A61B3 5 Bytes  JMP 017254CC 
.text    C:\WINDOWS\Explorer.EXE[268] CRYPT32.dll!PFXImportCertStore                                              77ABFF8F 5 Bytes  JMP 0173BF73 
.text    C:\WINDOWS\Explorer.EXE[268] WININET.dll!InternetCloseHandle                                             77194D8C 5 Bytes  JMP 0173D332 
.text    C:\WINDOWS\Explorer.EXE[268] WININET.dll!HttpSendRequestA                                                771960A1 5 Bytes  JMP 0173D1A6 
.text    C:\WINDOWS\Explorer.EXE[268] WININET.dll!HttpQueryInfoA                                                  771979C2 5 Bytes  JMP 0173D42A 
.text    C:\WINDOWS\Explorer.EXE[268] WININET.dll!InternetReadFile                                                771982EA 5 Bytes  JMP 0173D375 
.text    C:\WINDOWS\Explorer.EXE[268] WININET.dll!HttpSendRequestExW                                              7719E9C1 5 Bytes  JMP 0173D1FA 
.text    C:\WINDOWS\Explorer.EXE[268] WININET.dll!InternetQueryDataAvailable                                      771A89F7 5 Bytes  JMP 0173D3FE 
.text    C:\WINDOWS\Explorer.EXE[268] WININET.dll!InternetReadFileExA                                             771C9100 5 Bytes  JMP 0173D3B4 
.text    C:\WINDOWS\Explorer.EXE[268] WININET.dll!HttpSendRequestW                                                771E2EBC 5 Bytes  JMP 0173D152 
.text    C:\WINDOWS\Explorer.EXE[268] WININET.dll!HttpSendRequestExA                                              771E2FC1 5 Bytes  JMP 0173D296 
.text    C:\WINDOWS\Explorer.EXE[268] WS2_32.dll!closesocket                                                      71A13E2B 5 Bytes  JMP 01737939 
.text    C:\WINDOWS\Explorer.EXE[268] WS2_32.dll!send                                                             71A14C27 5 Bytes  JMP 01737971 
.text    C:\WINDOWS\Explorer.EXE[268] WS2_32.dll!WSASend                                                          71A168FA 5 Bytes  JMP 01737992 
.text    C:\WINDOWS\RTHDCPL.EXE[732] ntdll.dll!NtCreateThread                                                     7C91D190 5 Bytes  JMP 051D6FC1 
.text    C:\WINDOWS\RTHDCPL.EXE[732] ntdll.dll!LdrLoadDll                                                         7C9263A3 5 Bytes  JMP 051D71A1 
.text    C:\WINDOWS\RTHDCPL.EXE[732] kernel32.dll!GetFileAttributesExW                                            7C811185 5 Bytes  JMP 051D727B 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!ReleaseDC                                                         7E36869D 5 Bytes  JMP 051D9DAC 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetDC                                                             7E3686C7 5 Bytes  JMP 051D9D2E 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!TranslateMessage                                                  7E368BF6 5 Bytes  JMP 051C5895 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetWindowDC                                                       7E369021 5 Bytes  JMP 051D9D6D 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetMessageW                                                       7E3691C6 5 Bytes  JMP 051C5652 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!PeekMessageW                                                      7E36929B 5 Bytes  JMP 051C56A2 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetCapture                                                        7E3694DA 5 Bytes  JMP 051C55B3 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!RegisterClassW                                                    7E36A39A 5 Bytes  JMP 051D6E83 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!RegisterClassExW                                                  7E36AF7F 5 Bytes  JMP 051D6F1D 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!OpenInputDesktop                                                  7E36ECA3 5 Bytes  JMP 051D6B11 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!SwitchDesktop                                                     7E36FE6E 5 Bytes  JMP 051D6B61 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!DefDlgProcW                                                       7E373D3A 5 Bytes  JMP 051D6C0B 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetMessageA                                                       7E37772B 5 Bytes  JMP 051C567A 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!RegisterClassExA                                                  7E377C39 5 Bytes  JMP 051D6F6F 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!DefWindowProcW                                                    7E378D20 5 Bytes  JMP 051D6B7F 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!BeginPaint                                                        7E378FE9 5 Bytes  JMP 051D9C23 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!EndPaint                                                          7E378FFD 5 Bytes  JMP 051D9C93 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetCursorPos                                                      7E37974E 5 Bytes  JMP 051C5485 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetMessagePos                                                     7E37996C 5 Bytes  JMP 051C5453 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!CallWindowProcW                                                   7E37A01E 5 Bytes  JMP 051D6DB5 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!PeekMessageA                                                      7E37A340 5 Bytes  JMP 051C56CD 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetUpdateRect                                                     7E37A8C9 5 Bytes  JMP 051D9DEC 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!CallWindowProcA                                                   7E37A97D 5 Bytes  JMP 051D6DFE 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!DefWindowProcA                                                    7E37C17E 5 Bytes  JMP 051D6BC5 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!SetCapture                                                        7E37C35E 5 Bytes  JMP 051C5509 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!ReleaseCapture                                                    7E37C37A 5 Bytes  JMP 051C5563 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetDCEx                                                           7E37C595 5 Bytes  JMP 051D9CD3 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!RegisterClassA                                                    7E37EA5E 5 Bytes  JMP 051D6ED0 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetUpdateRgn                                                      7E37F5EC 5 Bytes  JMP 051D9E7F 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!DefFrameProcW                                                     7E380833 5 Bytes  JMP 051D6C97 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!DefMDIChildProcW                                                  7E380A47 5 Bytes  JMP 051D6D29 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!GetClipboardData                                                  7E380DBA 5 Bytes  JMP 051C5A02 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!DefDlgProcA                                                       7E38E577 5 Bytes  JMP 051D6C51 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!DefFrameProcA                                                     7E39F965 5 Bytes  JMP 051D6CE0 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!DefMDIChildProcA                                                  7E39F9B4 5 Bytes  JMP 051D6D6F 
.text    C:\WINDOWS\RTHDCPL.EXE[732] USER32.dll!SetCursorPos                                                      7E3A61B3 5 Bytes  JMP 051C54CC 
.text    C:\WINDOWS\RTHDCPL.EXE[732] CRYPT32.dll!PFXImportCertStore                                               77ABFF8F 5 Bytes  JMP 051DBF73 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WS2_32.dll!closesocket                                                       71A13E2B 5 Bytes  JMP 051D7939 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WS2_32.dll!send                                                              71A14C27 5 Bytes  JMP 051D7971 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WS2_32.dll!WSASend                                                           71A168FA 5 Bytes  JMP 051D7992 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WININET.dll!InternetCloseHandle                                              77194D8C 5 Bytes  JMP 051DD332 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WININET.dll!HttpSendRequestA                                                 771960A1 5 Bytes  JMP 051DD1A6 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WININET.dll!HttpQueryInfoA                                                   771979C2 5 Bytes  JMP 051DD42A 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WININET.dll!InternetReadFile                                                 771982EA 5 Bytes  JMP 051DD375 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WININET.dll!HttpSendRequestExW                                               7719E9C1 5 Bytes  JMP 051DD1FA 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WININET.dll!InternetQueryDataAvailable                                       771A89F7 5 Bytes  JMP 051DD3FE 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WININET.dll!InternetReadFileExA                                              771C9100 5 Bytes  JMP 051DD3B4 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WININET.dll!HttpSendRequestW                                                 771E2EBC 5 Bytes  JMP 051DD152 
.text    C:\WINDOWS\RTHDCPL.EXE[732] WININET.dll!HttpSendRequestExA                                               771E2FC1 5 Bytes  JMP 051DD296 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] ntdll.dll!NtCreateThread                                           7C91D190 5 Bytes  JMP 009E6FC1 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] ntdll.dll!LdrLoadDll                                               7C9263A3 5 Bytes  JMP 009E71A1 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] kernel32.dll!GetFileAttributesExW                                  7C811185 5 Bytes  JMP 009E727B 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!ReleaseDC                                               7E36869D 5 Bytes  JMP 009E9DAC 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetDC                                                   7E3686C7 5 Bytes  JMP 009E9D2E 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!TranslateMessage                                        7E368BF6 5 Bytes  JMP 009D5895 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetWindowDC                                             7E369021 5 Bytes  JMP 009E9D6D 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetMessageW                                             7E3691C6 5 Bytes  JMP 009D5652 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!PeekMessageW                                            7E36929B 5 Bytes  JMP 009D56A2 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetCapture                                              7E3694DA 5 Bytes  JMP 009D55B3 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!RegisterClassW                                          7E36A39A 5 Bytes  JMP 009E6E83 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!RegisterClassExW                                        7E36AF7F 5 Bytes  JMP 009E6F1D 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!OpenInputDesktop                                        7E36ECA3 5 Bytes  JMP 009E6B11 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!SwitchDesktop                                           7E36FE6E 5 Bytes  JMP 009E6B61 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!DefDlgProcW                                             7E373D3A 5 Bytes  JMP 009E6C0B 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetMessageA                                             7E37772B 5 Bytes  JMP 009D567A 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!RegisterClassExA                                        7E377C39 5 Bytes  JMP 009E6F6F 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!DefWindowProcW                                          7E378D20 5 Bytes  JMP 009E6B7F 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!BeginPaint                                              7E378FE9 5 Bytes  JMP 009E9C23 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!EndPaint                                                7E378FFD 5 Bytes  JMP 009E9C93 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetCursorPos                                            7E37974E 5 Bytes  JMP 009D5485 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetMessagePos                                           7E37996C 5 Bytes  JMP 009D5453 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!CallWindowProcW                                         7E37A01E 5 Bytes  JMP 009E6DB5 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!PeekMessageA                                            7E37A340 5 Bytes  JMP 009D56CD 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetUpdateRect                                           7E37A8C9 5 Bytes  JMP 009E9DEC 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!CallWindowProcA                                         7E37A97D 5 Bytes  JMP 009E6DFE 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!DefWindowProcA                                          7E37C17E 5 Bytes  JMP 009E6BC5 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!SetCapture                                              7E37C35E 5 Bytes  JMP 009D5509 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!ReleaseCapture                                          7E37C37A 5 Bytes  JMP 009D5563 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetDCEx                                                 7E37C595 5 Bytes  JMP 009E9CD3 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!RegisterClassA                                          7E37EA5E 5 Bytes  JMP 009E6ED0 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetUpdateRgn                                            7E37F5EC 5 Bytes  JMP 009E9E7F 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!DefFrameProcW                                           7E380833 5 Bytes  JMP 009E6C97 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!DefMDIChildProcW                                        7E380A47 5 Bytes  JMP 009E6D29 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!GetClipboardData                                        7E380DBA 5 Bytes  JMP 009D5A02 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!DefDlgProcA                                             7E38E577 5 Bytes  JMP 009E6C51 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!DefFrameProcA                                           7E39F965 5 Bytes  JMP 009E6CE0 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!DefMDIChildProcA                                        7E39F9B4 5 Bytes  JMP 009E6D6F 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] USER32.dll!SetCursorPos                                            7E3A61B3 5 Bytes  JMP 009D54CC 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WS2_32.dll!closesocket                                             71A13E2B 5 Bytes  JMP 009E7939 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WS2_32.dll!send                                                    71A14C27 5 Bytes  JMP 009E7971 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WS2_32.dll!WSASend                                                 71A168FA 5 Bytes  JMP 009E7992 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] CRYPT32.dll!PFXImportCertStore                                     77ABFF8F 5 Bytes  JMP 009EBF73 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WININET.dll!InternetCloseHandle                                    77194D8C 5 Bytes  JMP 009ED332 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WININET.dll!HttpSendRequestA                                       771960A1 5 Bytes  JMP 009ED1A6 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WININET.dll!HttpQueryInfoA                                         771979C2 5 Bytes  JMP 009ED42A 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WININET.dll!InternetReadFile                                       771982EA 5 Bytes  JMP 009ED375 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WININET.dll!HttpSendRequestExW                                     7719E9C1 5 Bytes  JMP 009ED1FA 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WININET.dll!InternetQueryDataAvailable                             771A89F7 5 Bytes  JMP 009ED3FE 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WININET.dll!InternetReadFileExA                                    771C9100 5 Bytes  JMP 009ED3B4 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WININET.dll!HttpSendRequestW                                       771E2EBC 5 Bytes  JMP 009ED152 
.text    C:\WINDOWS\system32\RUNDLL32.EXE[752] WININET.dll!HttpSendRequestExA                                     771E2FC1 5 Bytes  JMP 009ED296 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtCreateThread                                           7C91D190 5 Bytes  JMP 00AB6FC1 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!LdrLoadDll                                               7C9263A3 5 Bytes  JMP 00AB71A1 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] kernel32.dll!GetFileAttributesExW                                  7C811185 5 Bytes  JMP 00AB727B 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!ReleaseDC                                               7E36869D 5 Bytes  JMP 00AB9DAC 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetDC                                                   7E3686C7 5 Bytes  JMP 00AB9D2E 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!TranslateMessage                                        7E368BF6 5 Bytes  JMP 00AA5895 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetWindowDC                                             7E369021 5 Bytes  JMP 00AB9D6D 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetMessageW                                             7E3691C6 5 Bytes  JMP 00AA5652 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!PeekMessageW                                            7E36929B 5 Bytes  JMP 00AA56A2 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetCapture                                              7E3694DA 5 Bytes  JMP 00AA55B3 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!RegisterClassW                                          7E36A39A 5 Bytes  JMP 00AB6E83 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!RegisterClassExW                                        7E36AF7F 5 Bytes  JMP 00AB6F1D 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!OpenInputDesktop                                        7E36ECA3 5 Bytes  JMP 00AB6B11 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!SwitchDesktop                                           7E36FE6E 5 Bytes  JMP 00AB6B61 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!DefDlgProcW                                             7E373D3A 5 Bytes  JMP 00AB6C0B 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetMessageA                                             7E37772B 5 Bytes  JMP 00AA567A 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!RegisterClassExA                                        7E377C39 5 Bytes  JMP 00AB6F6F 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!DefWindowProcW                                          7E378D20 5 Bytes  JMP 00AB6B7F 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!BeginPaint                                              7E378FE9 5 Bytes  JMP 00AB9C23 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!EndPaint                                                7E378FFD 5 Bytes  JMP 00AB9C93 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetCursorPos                                            7E37974E 5 Bytes  JMP 00AA5485 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetMessagePos                                           7E37996C 5 Bytes  JMP 00AA5453 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!CallWindowProcW                                         7E37A01E 5 Bytes  JMP 00AB6DB5 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!PeekMessageA                                            7E37A340 5 Bytes  JMP 00AA56CD 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetUpdateRect                                           7E37A8C9 5 Bytes  JMP 00AB9DEC 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!CallWindowProcA                                         7E37A97D 5 Bytes  JMP 00AB6DFE 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!DefWindowProcA                                          7E37C17E 5 Bytes  JMP 00AB6BC5 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!SetCapture                                              7E37C35E 5 Bytes  JMP 00AA5509 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!ReleaseCapture                                          7E37C37A 5 Bytes  JMP 00AA5563 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetDCEx                                                 7E37C595 5 Bytes  JMP 00AB9CD3 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!RegisterClassA                                          7E37EA5E 5 Bytes  JMP 00AB6ED0 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetUpdateRgn                                            7E37F5EC 5 Bytes  JMP 00AB9E7F 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!DefFrameProcW                                           7E380833 5 Bytes  JMP 00AB6C97 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!DefMDIChildProcW                                        7E380A47 5 Bytes  JMP 00AB6D29 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!GetClipboardData                                        7E380DBA 5 Bytes  JMP 00AA5A02 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!DefDlgProcA                                             7E38E577 5 Bytes  JMP 00AB6C51 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!DefFrameProcA                                           7E39F965 5 Bytes  JMP 00AB6CE0 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!DefMDIChildProcA                                        7E39F9B4 5 Bytes  JMP 00AB6D6F 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!SetCursorPos                                            7E3A61B3 5 Bytes  JMP 00AA54CC 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WS2_32.dll!closesocket                                             71A13E2B 5 Bytes  JMP 00AB7939 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WS2_32.dll!send                                                    71A14C27 5 Bytes  JMP 00AB7971 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WS2_32.dll!WSASend                                                 71A168FA 5 Bytes  JMP 00AB7992 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] CRYPT32.dll!PFXImportCertStore                                     77ABFF8F 5 Bytes  JMP 00ABBF73 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WININET.dll!InternetCloseHandle                                    77194D8C 5 Bytes  JMP 00ABD332 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WININET.dll!HttpSendRequestA                                       771960A1 5 Bytes  JMP 00ABD1A6 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WININET.dll!HttpQueryInfoA                                         771979C2 5 Bytes  JMP 00ABD42A 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WININET.dll!InternetReadFile                                       771982EA 5 Bytes  JMP 00ABD375 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WININET.dll!HttpSendRequestExW                                     7719E9C1 5 Bytes  JMP 00ABD1FA 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WININET.dll!InternetQueryDataAvailable                             771A89F7 5 Bytes  JMP 00ABD3FE 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WININET.dll!InternetReadFileExA                                    771C9100 5 Bytes  JMP 00ABD3B4 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WININET.dll!HttpSendRequestW                                       771E2EBC 5 Bytes  JMP 00ABD152 
.text    C:\WINDOWS\system32\wscntfy.exe[2152] WININET.dll!HttpSendRequestExA                                     771E2FC1 5 Bytes  JMP 00ABD296 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] ntdll.dll!NtCreateThread                  7C91D190 5 Bytes  JMP 00146FC1 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] ntdll.dll!LdrLoadDll                      7C9263A3 5 Bytes  JMP 001471A1 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] kernel32.dll!GetFileAttributesExW         7C811185 5 Bytes  JMP 0014727B 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!ReleaseDC                      7E36869D 5 Bytes  JMP 00149DAC 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetDC                          7E3686C7 5 Bytes  JMP 00149D2E 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!TranslateMessage               7E368BF6 5 Bytes  JMP 00135895 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetWindowDC                    7E369021 5 Bytes  JMP 00149D6D 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetMessageW                    7E3691C6 5 Bytes  JMP 00135652 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!PeekMessageW                   7E36929B 5 Bytes  JMP 001356A2 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetCapture                     7E3694DA 5 Bytes  JMP 001355B3 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!RegisterClassW                 7E36A39A 5 Bytes  JMP 00146E83 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!RegisterClassExW               7E36AF7F 5 Bytes  JMP 00146F1D 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!OpenInputDesktop               7E36ECA3 5 Bytes  JMP 00146B11 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!SwitchDesktop                  7E36FE6E 5 Bytes  JMP 00146B61 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!DefDlgProcW                    7E373D3A 5 Bytes  JMP 00146C0B 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetMessageA                    7E37772B 5 Bytes  JMP 0013567A 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!RegisterClassExA               7E377C39 5 Bytes  JMP 00146F6F 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!DefWindowProcW                 7E378D20 5 Bytes  JMP 00146B7F 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!BeginPaint                     7E378FE9 5 Bytes  JMP 00149C23 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!EndPaint                       7E378FFD 5 Bytes  JMP 00149C93 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetCursorPos                   7E37974E 5 Bytes  JMP 00135485 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetMessagePos                  7E37996C 5 Bytes  JMP 00135453 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!CallWindowProcW                7E37A01E 5 Bytes  JMP 00146DB5 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!PeekMessageA                   7E37A340 5 Bytes  JMP 001356CD 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetUpdateRect                  7E37A8C9 5 Bytes  JMP 00149DEC 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!CallWindowProcA                7E37A97D 5 Bytes  JMP 00146DFE 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!DefWindowProcA                 7E37C17E 5 Bytes  JMP 00146BC5 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!SetCapture                     7E37C35E 5 Bytes  JMP 00135509 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!ReleaseCapture                 7E37C37A 5 Bytes  JMP 00135563 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetDCEx                        7E37C595 5 Bytes  JMP 00149CD3 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!RegisterClassA                 7E37EA5E 5 Bytes  JMP 00146ED0 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetUpdateRgn                   7E37F5EC 5 Bytes  JMP 00149E7F 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!DefFrameProcW                  7E380833 5 Bytes  JMP 00146C97 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!DefMDIChildProcW               7E380A47 5 Bytes  JMP 00146D29 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!GetClipboardData               7E380DBA 5 Bytes  JMP 00135A02 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!DefDlgProcA                    7E38E577 5 Bytes  JMP 00146C51 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!DefFrameProcA                  7E39F965 5 Bytes  JMP 00146CE0 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!DefMDIChildProcA               7E39F9B4 5 Bytes  JMP 00146D6F 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] USER32.dll!SetCursorPos                   7E3A61B3 5 Bytes  JMP 001354CC 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WS2_32.dll!closesocket                    71A13E2B 5 Bytes  JMP 00147939 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WS2_32.dll!send                           71A14C27 5 Bytes  JMP 00147971 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WS2_32.dll!WSASend                        71A168FA 5 Bytes  JMP 00147992 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] CRYPT32.dll!PFXImportCertStore            77ABFF8F 5 Bytes  JMP 0014BF73 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WININET.dll!InternetCloseHandle           77194D8C 5 Bytes  JMP 0014D332 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WININET.dll!HttpSendRequestA              771960A1 5 Bytes  JMP 0014D1A6 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WININET.dll!HttpQueryInfoA                771979C2 5 Bytes  JMP 0014D42A 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WININET.dll!InternetReadFile              771982EA 5 Bytes  JMP 0014D375 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WININET.dll!HttpSendRequestExW            7719E9C1 5 Bytes  JMP 0014D1FA 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WININET.dll!InternetQueryDataAvailable    771A89F7 5 Bytes  JMP 0014D3FE 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WININET.dll!InternetReadFileExA           771C9100 5 Bytes  JMP 0014D3B4 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WININET.dll!HttpSendRequestW              771E2EBC 5 Bytes  JMP 0014D152 
.text    C:\Dokumente und Einstellungen\Fabi\Desktop\3u98zxo1.exe[2840] WININET.dll!HttpSendRequestExA            771E2FC1 5 Bytes  JMP 0014D296 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] ntdll.dll!NtCreateThread                7C91D190 5 Bytes  JMP 00146FC1 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] ntdll.dll!LdrLoadDll                    7C9263A3 5 Bytes  JMP 001471A1 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] kernel32.dll!GetFileAttributesExW       7C811185 5 Bytes  JMP 0014727B 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!ReleaseDC                    7E36869D 5 Bytes  JMP 00149DAC 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetDC                        7E3686C7 5 Bytes  JMP 00149D2E 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!TranslateMessage             7E368BF6 5 Bytes  JMP 00135895 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetWindowDC                  7E369021 5 Bytes  JMP 00149D6D 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetMessageW                  7E3691C6 5 Bytes  JMP 00135652 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!PeekMessageW                 7E36929B 5 Bytes  JMP 001356A2 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetCapture                   7E3694DA 5 Bytes  JMP 001355B3 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!RegisterClassW               7E36A39A 5 Bytes  JMP 00146E83 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!RegisterClassExW             7E36AF7F 5 Bytes  JMP 00146F1D 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!OpenInputDesktop             7E36ECA3 5 Bytes  JMP 00146B11 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!SwitchDesktop                7E36FE6E 5 Bytes  JMP 00146B61 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!DefDlgProcW                  7E373D3A 5 Bytes  JMP 00146C0B 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetMessageA                  7E37772B 5 Bytes  JMP 0013567A 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!RegisterClassExA             7E377C39 5 Bytes  JMP 00146F6F 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!DefWindowProcW               7E378D20 5 Bytes  JMP 00146B7F 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!BeginPaint                   7E378FE9 5 Bytes  JMP 00149C23 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!EndPaint                     7E378FFD 5 Bytes  JMP 00149C93 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetCursorPos                 7E37974E 5 Bytes  JMP 00135485 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetMessagePos                7E37996C 5 Bytes  JMP 00135453 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!CallWindowProcW              7E37A01E 5 Bytes  JMP 00146DB5 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!PeekMessageA                 7E37A340 5 Bytes  JMP 001356CD 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetUpdateRect                7E37A8C9 5 Bytes  JMP 00149DEC 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!CallWindowProcA              7E37A97D 5 Bytes  JMP 00146DFE 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!DefWindowProcA               7E37C17E 5 Bytes  JMP 00146BC5 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!SetCapture                   7E37C35E 5 Bytes  JMP 00135509 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!ReleaseCapture               7E37C37A 5 Bytes  JMP 00135563 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetDCEx                      7E37C595 5 Bytes  JMP 00149CD3 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!RegisterClassA               7E37EA5E 5 Bytes  JMP 00146ED0 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetUpdateRgn                 7E37F5EC 5 Bytes  JMP 00149E7F 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!DefFrameProcW                7E380833 5 Bytes  JMP 00146C97 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!DefMDIChildProcW             7E380A47 5 Bytes  JMP 00146D29 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!GetClipboardData             7E380DBA 5 Bytes  JMP 00135A02 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!DefDlgProcA                  7E38E577 5 Bytes  JMP 00146C51 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!DefFrameProcA                7E39F965 5 Bytes  JMP 00146CE0 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!DefMDIChildProcA             7E39F9B4 5 Bytes  JMP 00146D6F 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] USER32.dll!SetCursorPos                 7E3A61B3 5 Bytes  JMP 001354CC 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WININET.dll!InternetCloseHandle         77194D8C 5 Bytes  JMP 0014D332 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WININET.dll!HttpSendRequestA            771960A1 5 Bytes  JMP 0014D1A6 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WININET.dll!HttpQueryInfoA              771979C2 5 Bytes  JMP 0014D42A 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WININET.dll!InternetReadFile            771982EA 5 Bytes  JMP 0014D375 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WININET.dll!HttpSendRequestExW          7719E9C1 5 Bytes  JMP 0014D1FA 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WININET.dll!InternetQueryDataAvailable  771A89F7 5 Bytes  JMP 0014D3FE 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WININET.dll!InternetReadFileExA         771C9100 5 Bytes  JMP 0014D3B4 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WININET.dll!HttpSendRequestW            771E2EBC 5 Bytes  JMP 0014D152 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WININET.dll!HttpSendRequestExA          771E2FC1 5 Bytes  JMP 0014D296 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] CRYPT32.dll!PFXImportCertStore          77ABFF8F 5 Bytes  JMP 0014BF73 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WS2_32.dll!closesocket                  71A13E2B 5 Bytes  JMP 00147939 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WS2_32.dll!send                         71A14C27 5 Bytes  JMP 00147971 
.text    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[3316] WS2_32.dll!WSASend                      71A168FA 5 Bytes  JMP 00147992 

---- EOF - GMER 1.0.15 ----
         
--- --- ---



Kann einer von euch da vielleicht rauslesen, wie ich mein System wieder sauber bekomme?

Alt 08.02.2012, 16:21   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Zitat:
Dabei wurde auch einiges gefunden und entfernt,
Ohne die Logs von Malwarebytes und Co wird das hier nichts.
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 08.02.2012, 19:52   #3
Fasching
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Danke erstmal für die Antwort.

Aber was für Logs meinst du? Malwarebytes und Antivir finden ja nix mehr.
Soll ich trotzdem ein Log davon reinstellen, wie 0 Funde gemacht werden?

Habe grade die alten Malwarebytes Logs durchgeguckt und leider kein Log mehr vom ersten Suchlauf, in dem 5 Objekte oder so gefunden wurden.
Habe nurnoch 1 Log, in dem das hier gefunden wurde:

(Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Aber die alten Antivir Logs habe ich noch:

Code:
ATTFilter
 

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 31. Januar 2012  22:21

Es wird nach 3385144 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Fabi
Computername   : ZITRONAT

Versionsinformationen:
BUILD.DAT      : 12.0.0.872     41826 Bytes  15.12.2011 16:24:00
AVSCAN.EXE     : 12.1.0.18     490448 Bytes  27.10.2011 17:20:19
AVSCAN.DLL     : 12.1.0.17      65744 Bytes  05.10.2011 08:18:04
LUKE.DLL       : 12.1.0.17      68304 Bytes  05.10.2011 08:17:59
AVSCPLR.DLL    : 12.1.0.21      99536 Bytes  08.12.2011 20:36:56
AVREG.DLL      : 12.1.0.27     227536 Bytes  09.12.2011 20:32:55
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 22:58:25
VBASE003.VDF   : 7.11.19.171     2048 Bytes  20.12.2011 22:58:25
VBASE004.VDF   : 7.11.19.172     2048 Bytes  20.12.2011 22:58:25
VBASE005.VDF   : 7.11.19.173     2048 Bytes  20.12.2011 22:58:25
VBASE006.VDF   : 7.11.19.174     2048 Bytes  20.12.2011 22:58:25
VBASE007.VDF   : 7.11.19.175     2048 Bytes  20.12.2011 22:58:25
VBASE008.VDF   : 7.11.19.176     2048 Bytes  20.12.2011 22:58:25
VBASE009.VDF   : 7.11.19.177     2048 Bytes  20.12.2011 22:58:25
VBASE010.VDF   : 7.11.19.178     2048 Bytes  20.12.2011 22:58:25
VBASE011.VDF   : 7.11.19.179     2048 Bytes  20.12.2011 22:58:25
VBASE012.VDF   : 7.11.19.180     2048 Bytes  20.12.2011 22:58:25
VBASE013.VDF   : 7.11.19.217   182784 Bytes  22.12.2011 22:14:39
VBASE014.VDF   : 7.11.19.255   148480 Bytes  24.12.2011 13:17:32
VBASE015.VDF   : 7.11.20.29    164352 Bytes  27.12.2011 19:00:51
VBASE016.VDF   : 7.11.20.70    180224 Bytes  29.12.2011 19:00:52
VBASE017.VDF   : 7.11.20.102   240640 Bytes  02.01.2012 19:00:46
VBASE018.VDF   : 7.11.20.139   164864 Bytes  04.01.2012 19:00:48
VBASE019.VDF   : 7.11.20.178   167424 Bytes  06.01.2012 21:29:43
VBASE020.VDF   : 7.11.20.207   230400 Bytes  10.01.2012 21:29:44
VBASE021.VDF   : 7.11.20.236   150528 Bytes  11.01.2012 05:25:46
VBASE022.VDF   : 7.11.21.13    135168 Bytes  13.01.2012 18:48:03
VBASE023.VDF   : 7.11.21.40    163840 Bytes  16.01.2012 22:25:00
VBASE024.VDF   : 7.11.21.65   1001472 Bytes  17.01.2012 22:25:01
VBASE025.VDF   : 7.11.21.98    487424 Bytes  19.01.2012 13:10:51
VBASE026.VDF   : 7.11.21.156  1010688 Bytes  25.01.2012 13:58:41
VBASE027.VDF   : 7.11.21.176   600576 Bytes  26.01.2012 13:58:46
VBASE028.VDF   : 7.11.21.201   172544 Bytes  29.01.2012 22:39:01
VBASE029.VDF   : 7.11.21.226   635392 Bytes  31.01.2012 21:18:46
VBASE030.VDF   : 7.11.21.233   150528 Bytes  31.01.2012 21:18:46
VBASE031.VDF   : 7.11.21.234     2048 Bytes  31.01.2012 21:18:46
Engineversion  : 8.2.8.44  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  27.10.2011 17:20:18
AESCRIPT.DLL   : 8.1.4.2       434553 Bytes  27.01.2012 15:47:18
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 15:47:14
AESBX.DLL      : 8.2.4.5       434549 Bytes  01.12.2011 16:37:24
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06
AEPACK.DLL     : 8.2.16.2      799095 Bytes  27.01.2012 15:47:11
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  30.12.2011 19:01:25
AEHEUR.DLL     : 8.1.3.23     4333943 Bytes  27.01.2012 15:46:52
AEHELP.DLL     : 8.1.19.0      254327 Bytes  20.01.2012 13:11:00
AEGEN.DLL      : 8.1.5.18      409973 Bytes  27.01.2012 15:45:55
AEEMU.DLL      : 8.1.3.0       393589 Bytes  01.09.2011 21:46:01
AECORE.DLL     : 8.1.25.3      201079 Bytes  27.01.2012 15:45:49
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  05.10.2011 08:17:53
AVPREF.DLL     : 12.1.0.17      51920 Bytes  05.10.2011 08:17:51
AVREP.DLL      : 12.1.0.17     179408 Bytes  05.10.2011 08:17:51
AVARKT.DLL     : 12.1.0.19     208848 Bytes  08.12.2011 20:36:54
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  05.10.2011 08:17:50
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  05.10.2011 08:18:02
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  05.10.2011 08:17:52
NETNT.DLL      : 12.1.0.17      17104 Bytes  05.10.2011 08:17:59
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  05.10.2011 08:18:06
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  05.10.2011 08:18:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 31. Januar 2012  22:21

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '138' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1134' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\Dokumente und Einstellungen\Fabi\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\563c5fc1-7b8691be
  [0] Archivtyp: ZIP
  --> photo/Photo.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.CJ
C:\Dokumente und Einstellungen\Fabi\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\522ab8d3-7ba37497
  [0] Archivtyp: ZIP
  --> photo/Zoom.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.P.1
C:\Dokumente und Einstellungen\Fabi\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\8093698-69bf4d03
  [0] Archivtyp: ZIP
  --> photo/Mover.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.moz
  --> photo/Zoom.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.CH
C:\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Bifrose.ejdq

Beginne mit der Desinfektion:
C:\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Bifrose.ejdq
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4bfb10.qua' verschoben!
C:\Dokumente und Einstellungen\Fabi\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\8093698-69bf4d03
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.CH
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5527d4e4.qua' verschoben!
C:\Dokumente und Einstellungen\Fabi\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\522ab8d3-7ba37497
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.P.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07438e0e.qua' verschoben!
C:\Dokumente und Einstellungen\Fabi\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\563c5fc1-7b8691be
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.CJ
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6175c1c8.qua' verschoben!


Ende des Suchlaufs: Dienstag, 31. Januar 2012  22:36
Benötigte Zeit: 12:10 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   2800 Verzeichnisse wurden überprüft
 304593 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 304588 Dateien ohne Befall
   2975 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise
 171359 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
und das hier ist das Log von nem Suchlauf kurze Zeit später, bei dem wieder was gefunden wurde. Mein verdacht, ist ja, dass sich da irgendwas nachgeladen hat in der Zwischenzeit:



Code:
ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 30. Januar 2012  20:19

Es wird nach 3326171 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ZITRONAT

Versionsinformationen:
BUILD.DAT      : 12.0.0.872     41826 Bytes  15.12.2011 16:24:00
AVSCAN.EXE     : 12.1.0.18     490448 Bytes  27.10.2011 17:20:19
AVSCAN.DLL     : 12.1.0.17      65744 Bytes  05.10.2011 08:18:04
LUKE.DLL       : 12.1.0.17      68304 Bytes  05.10.2011 08:17:59
AVSCPLR.DLL    : 12.1.0.21      99536 Bytes  08.12.2011 20:36:56
AVREG.DLL      : 12.1.0.27     227536 Bytes  09.12.2011 20:32:55
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 22:58:25
VBASE003.VDF   : 7.11.19.171     2048 Bytes  20.12.2011 22:58:25
VBASE004.VDF   : 7.11.19.172     2048 Bytes  20.12.2011 22:58:25
VBASE005.VDF   : 7.11.19.173     2048 Bytes  20.12.2011 22:58:25
VBASE006.VDF   : 7.11.19.174     2048 Bytes  20.12.2011 22:58:25
VBASE007.VDF   : 7.11.19.175     2048 Bytes  20.12.2011 22:58:25
VBASE008.VDF   : 7.11.19.176     2048 Bytes  20.12.2011 22:58:25
VBASE009.VDF   : 7.11.19.177     2048 Bytes  20.12.2011 22:58:25
VBASE010.VDF   : 7.11.19.178     2048 Bytes  20.12.2011 22:58:25
VBASE011.VDF   : 7.11.19.179     2048 Bytes  20.12.2011 22:58:25
VBASE012.VDF   : 7.11.19.180     2048 Bytes  20.12.2011 22:58:25
VBASE013.VDF   : 7.11.19.217   182784 Bytes  22.12.2011 22:14:39
VBASE014.VDF   : 7.11.19.255   148480 Bytes  24.12.2011 13:17:32
VBASE015.VDF   : 7.11.20.29    164352 Bytes  27.12.2011 19:00:51
VBASE016.VDF   : 7.11.20.70    180224 Bytes  29.12.2011 19:00:52
VBASE017.VDF   : 7.11.20.102   240640 Bytes  02.01.2012 19:00:46
VBASE018.VDF   : 7.11.20.139   164864 Bytes  04.01.2012 19:00:48
VBASE019.VDF   : 7.11.20.178   167424 Bytes  06.01.2012 21:29:43
VBASE020.VDF   : 7.11.20.207   230400 Bytes  10.01.2012 21:29:44
VBASE021.VDF   : 7.11.20.236   150528 Bytes  11.01.2012 05:25:46
VBASE022.VDF   : 7.11.21.13    135168 Bytes  13.01.2012 18:48:03
VBASE023.VDF   : 7.11.21.40    163840 Bytes  16.01.2012 22:25:00
VBASE024.VDF   : 7.11.21.65   1001472 Bytes  17.01.2012 22:25:01
VBASE025.VDF   : 7.11.21.98    487424 Bytes  19.01.2012 13:10:51
VBASE026.VDF   : 7.11.21.156  1010688 Bytes  25.01.2012 13:58:41
VBASE027.VDF   : 7.11.21.176   600576 Bytes  26.01.2012 13:58:46
VBASE028.VDF   : 7.11.21.201   172544 Bytes  29.01.2012 22:39:01
VBASE029.VDF   : 7.11.21.202     2048 Bytes  29.01.2012 22:39:01
VBASE030.VDF   : 7.11.21.203     2048 Bytes  29.01.2012 22:39:01
VBASE031.VDF   : 7.11.21.204     2048 Bytes  29.01.2012 22:39:01
Engineversion  : 8.2.8.44  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  27.10.2011 17:20:18
AESCRIPT.DLL   : 8.1.4.2       434553 Bytes  27.01.2012 15:47:18
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 15:47:14
AESBX.DLL      : 8.2.4.5       434549 Bytes  01.12.2011 16:37:24
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06
AEPACK.DLL     : 8.2.16.2      799095 Bytes  27.01.2012 15:47:11
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  30.12.2011 19:01:25
AEHEUR.DLL     : 8.1.3.23     4333943 Bytes  27.01.2012 15:46:52
AEHELP.DLL     : 8.1.19.0      254327 Bytes  20.01.2012 13:11:00
AEGEN.DLL      : 8.1.5.18      409973 Bytes  27.01.2012 15:45:55
AEEMU.DLL      : 8.1.3.0       393589 Bytes  01.09.2011 21:46:01
AECORE.DLL     : 8.1.25.3      201079 Bytes  27.01.2012 15:45:49
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  05.10.2011 08:17:53
AVPREF.DLL     : 12.1.0.17      51920 Bytes  05.10.2011 08:17:51
AVREP.DLL      : 12.1.0.17     179408 Bytes  05.10.2011 08:17:51
AVARKT.DLL     : 12.1.0.19     208848 Bytes  08.12.2011 20:36:54
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  05.10.2011 08:17:50
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  05.10.2011 08:18:02
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  05.10.2011 08:17:52
NETNT.DLL      : 12.1.0.17      17104 Bytes  05.10.2011 08:17:59
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  05.10.2011 08:18:06
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  05.10.2011 08:18:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f26ec48\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 30. Januar 2012  20:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Fabi\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\sesn\opr02HZI.tmp'
C:\Dokumente und Einstellungen\Fabi\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\sesn\opr02HZI.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-1885.AU
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d7e4c97.qua' verschoben!


Ende des Suchlaufs: Montag, 30. Januar 2012  20:19
Benötigte Zeit: 00:05 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     24 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     23 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         


Aber mittlerweile findet weder Antivir noch Malwarebytes etwas und auch in dem GMER Log scheint alles ok zu sein oder?

Hast du vielleicht ne Idee, mit welchem Programm ich noch fündig werden könnte?
Ich hab auch den verdacht, dass einer der Viren meine Internet Sicherheitseinstellungen irgendwie verringert hat, weiß aber nicht wie ich die vernünftig wieder hochstellen kann.
__________________

Alt 09.02.2012, 11:45   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Zitat:
Malwarebytes und Antivir finden ja nix mehr.
Es geht unm die bereits erstellten Logs! Einfach mal in den Berichten/Ereignisse nachsehen.
Bei Malwarebytes im Reiter Logdateien!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.02.2012, 12:46   #5
Fasching
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Hab ich doch schon reingestellt einen Post darüber.

Mit Malwarebytes hab ich mich wahrscheinlich getäuscht und der hatte nicht 5 Dateien sondern nur die eine bereits erwähnte gefunden.

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.03.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Fabi :: ZITRONAT [Administrator]

Schutz: Aktiviert

03.02.2012 14:34:56
mbam-log-2012-02-03 (14-34-56).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 216269
Laufzeit: 25 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
E:\spiele\Ra.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Das war ne modifizierte exe (nocd) von nem spiel, dass ich im original besitze. Die hat sich anscheinend Monate nachdem ich das mal wieder gespielt habe als Trojaner rausgestellt.


Die 5 Funde waren wahrscheinlich vorher mit Antivir (siehe meinen vorherigen post)


Mittlerweile scheint das System völlig clean, aber das erklärt nicht die auswählversuche meines pcs.


Alt 09.02.2012, 16:14   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Mehr hat Malwarebytes zuvor nicht gefunden?
__________________
--> Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts

Alt 09.02.2012, 17:08   #7
Fasching
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Leider nicht.

Antivir hat vorher eben schon ganz gut aufgeräumt. (5 Funde siehe log oben)


Habe auch gestern nochmal gesucht, aber wieder 0 Treffer.
Heute gab es auch noch keinen (gestoppten) auswahlversuch, aber so ganz traue ich dem Frieden nicht.

Ich empfinde es eher als gefährlich, dass nichts gefunden wird nachdem bereits diverse Auswahlversuche geblockt wurden.

Alt 09.02.2012, 17:12   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.02.2012, 18:14   #9
Fasching
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



wow das war ne super idee

sieht ganz so aus als sollte ich vielleicht in zukunft doch lieber mit cds rumhantieren, bei meinen spielen.
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d1c10c8657244b4693870ca67d179a99
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-02-09 05:09:03
# local_time=2012-02-09 06:09:03 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777191 100 0 10468345 10468345 0 0
# compatibility_mode=8192 67108863 100 0 3768 3768 0 0
# scanned=61055
# found=5
# cleaned=0
# scan_time=2030
C:\Dokumente und Einstellungen\Fabi\Anwendungsdaten\Enom\ehpaugn.exe	a variant of Win32/Kryptik.YDW trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Fabi\Desktop\PRO.EVOLUTION.SOCCER.2K12.V1.03.ALL.RELOADED.NODVD.ZIP	a variant of Win32/Packed.VMProtect.AAH trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Fabi\Desktop\PRO.EVOLUTION.SOCCER.2K12.V1.03.ALL.RELOADED.NODVD\rld.dll	a variant of Win32/Packed.VMProtect.AAH trojan (unable to clean)	00000000000000000000000000000000	I
E:\spiele\pes\rld.dll	a variant of Win32/Packed.VMProtect.AAH trojan (unable to clean)	00000000000000000000000000000000	I
${Memory}	a variant of Win32/Spy.Zbot.ZR trojan	00000000000000000000000000000000	I
         
soll ich den eset jetzt nochmal durchlaufen lassen und diesmal auch die funde removen lassen?
und wie kriege ich dann anschließend meinen pc sicher? im moment sind doch bestimmt alle meine sicherheitseinstellungen korrumpiert.

Danke schonmal. Ich bin froh erstmal überhaupt wieder nen ansatz zu haben.

Alt 09.02.2012, 21:13   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Zitat:
C:\Dokumente und Einstellungen\Fabi\Desktop\PRO.EVOLUTION.SOCCER.2K12.V1.03.ALL.RELOADED.NODVD.ZIP
Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.02.2012, 22:15   #11
Fasching
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Für meine eigenen Spiele darf ich sicherlich nocd fixes benutzen.
Daran is doch nix illegal. Is halt bisschen dumm, dass ich mir damit trojaner eingefangen habe.

Schade, dass ihr mir dann nicht weiterhelfen wollt. Könnte auch screenshots von den originalspielen bei mir liefern.

Alt 10.02.2012, 12:11   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Standard

Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts



Zitat:
Für meine eigenen Spiele darf ich sicherlich nocd fixes benutzen.
Nö, Cracks stellen eine Modifikation der originalen EXE des Spiels dar und das ist lt. Bestimmungen nicht erlaubt. Auch NOCD-Cracks sind Cracks und somit illegale.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts
adobe, antivir, avira, browser, crypt, dateien, desktop, diverse, dll, down, einstellungen, explorer, flash player, helper, html, ip block, log, malwarebytes, ntdll.dll, opera, pdf, programme, rundll, svchost, system, windows, windows xp



Ähnliche Themen: Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts


  1. AVIRA meldet regelmäßi dass TR/Patched.ren.gen auf eine temporäre Datei zugreifen will
    Plagegeister aller Art und deren Bekämpfung - 10.10.2015 (18)
  2. Virus aber Programm findet nichts
    Log-Analyse und Auswertung - 02.04.2015 (3)
  3. Malwarebytes findet mehrere PUP.'s + Winpatrol meldet ständig ein namenloses Programm, das sich ausführen will
    Log-Analyse und Auswertung - 31.12.2014 (13)
  4. Kaspersky findet 7 Trojaner, kann aber nur 2 verarbeiten - malwarebytes findet nichts
    Plagegeister aller Art und deren Bekämpfung - 18.12.2013 (6)
  5. Malwarebytes Blockt IP Ausgänge aber findet nichts
    Plagegeister aller Art und deren Bekämpfung - 31.10.2013 (16)
  6. AVG findet 32 Rootkits,kann sie aber nicht eliminieren ,Malwarebytes findet nichts
    Plagegeister aller Art und deren Bekämpfung - 16.10.2013 (5)
  7. snap.do entfernen, malwarebytes findet nichts!
    Plagegeister aller Art und deren Bekämpfung - 06.04.2013 (11)
  8. Avira meldet Trojaner, Malwarebytes findet nichts
    Log-Analyse und Auswertung - 24.01.2013 (11)
  9. Startfenster.com von VLC, Malwarebytes findet aber nichts...
    Log-Analyse und Auswertung - 07.01.2013 (11)
  10. Malwarebytes "blockt" immer einer chinesische IP ... Ausgehend .. findet aber nix ..
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (10)
  11. AntiVir findet nichts doch Malwarebytes findet 22 infizierte Dateien
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (21)
  12. TR/Sirefef.BV.2 Ständiger Zugriffsversuch aufs Internet. Anti - Malware blockt, findet aber nichts
    Plagegeister aller Art und deren Bekämpfung - 21.03.2012 (9)
  13. Trojan Hunt findet die Trojaner sinowal.727 und agent.28. Malwarebytes findet nichts?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2011 (1)
  14. Definitiv Trojaner, aber Antivirenprogramm findet nichts
    Antiviren-, Firewall- und andere Schutzprogramme - 19.04.2011 (4)
  15. 16 Trojaner, Norton findet aber nichts!
    Plagegeister aller Art und deren Bekämpfung - 25.06.2009 (7)
  16. escan meldet Infektion kav findet nichts????
    Log-Analyse und Auswertung - 02.01.2008 (1)
  17. DNS-Name Eintrag bei VPN-Verbindung, aber HJT findet nichts
    Plagegeister aller Art und deren Bekämpfung - 15.04.2007 (6)

Zum Thema Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts - Hi, ich hatte kürzlich das Gefühl, dass irgendwie mein PC langsamer geworden ist und habe darum diverse Virenscans mit Avira und Malwarebytes durchgeführt. Dabei wurde auch einiges gefunden und entfernt, - Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts...
Archiv
Du betrachtest: Malwarebytes meldet ständig, dass es eine unsichere ip blockt, aber findet nichts auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.