| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
18.04.2012, 21:39
| #1 |
 |  "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. Nachtrag: grade nochmal durch die anwendungsdaten Ordner geklickt: I:\Dokumente und Einstellungen\luexx\Anwendungsdaten\Google Inc\{21F997AA-CC95-4BB3-87E3-15818E93D1A7} da ist mal wieder ein upgradeChecker.exe drin, und im autostart auch eingetragen.. nein, ich bin nicht tim taylor  nen rod hab ich auch nich.. aber ich find die geil.... hatte mit nem kumpel an seinem audi geschraubt.. soo, hier ist der log: Code:
ATTFilter ComboFix 12-04-18.02 - luexx 18.04.2012 22:42:26.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1526 [GMT 2:00]
ausgeführt von:: i:\dokumente und einstellungen\luexx\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
i:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
i:\dokumente und einstellungen\luexx\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
i:\dokumente und einstellungen\luexx\Anwendungsdaten\Help\coredb\storage
i:\dokumente und einstellungen\luexx\System
i:\dokumente und einstellungen\luexx\System\win_qs7.jqx
i:\dokumente und einstellungen\luexx\WINDOWS
i:\programme\INSTALL.LOG
i:\programme\Internet Explorer\iexplore.exe.tmp
i:\programme\xp-AntiSpy
i:\programme\xp-AntiSpy\Uninstall.exe
i:\programme\xp-AntiSpy\xp-AntiSpy.chm
i:\programme\xp-AntiSpy\xp-AntiSpy.exe
i:\programme\xp-AntiSpy\xp-AntiSpy.url
i:\programme\xp-AntiSpy\xp-AntiSpy_original.exe
i:\windows\system32\_000110_.tmp.dll
i:\windows\system32\c6501a3d.dll
i:\windows\system32\qdisp.dll
i:\windows\system32\winlogon.bak
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-18 bis 2012-04-18 ))))))))))))))))))))))))))))))
.
.
2012-04-18 15:57 . 2012-04-18 20:29 -------- d-----w- I:\_OTL
2012-04-16 22:55 . 2012-04-16 22:55 -------- d-----w- i:\programme\Process Revealer Free Edition
2012-04-16 22:55 . 2012-04-16 22:55 -------- d-----w- i:\dokumente und einstellungen\All Users\Anwendungsdaten\prfree
2012-04-16 21:12 . 2012-04-16 21:12 -------- d-----w- i:\programme\SecurityXploded
2012-04-10 18:21 . 2012-04-10 18:21 -------- d-----w- i:\dokumente und einstellungen\luexx\Anwendungsdaten\Windows Desktop Search
2012-04-10 18:04 . 2012-04-10 18:04 -------- d-----w- i:\programme\ESET
2012-04-10 17:56 . 2012-04-10 17:56 -------- d-----w- i:\programme\CCleaner
2012-04-09 19:21 . 2012-04-16 22:50 -------- d-----w- i:\dokumente und einstellungen\luexx\Anwendungsdaten\Google Inc
2012-04-09 19:11 . 2012-04-09 19:11 -------- d-----w- I:\TDSSKiller_Quarantine
2012-04-09 18:39 . 2012-04-09 18:39 -------- d-----w- i:\windows\system32\wbem\Repository
2012-04-09 18:20 . 2012-04-09 18:20 -------- d-----w- i:\dokumente und einstellungen\luexx\Anwendungsdaten\SUPERAntiSpyware.com
2012-04-09 18:20 . 2012-04-09 18:20 -------- d-----w- i:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2012-03-26 20:23 . 2012-03-26 20:23 -------- d-----w- i:\dokumente und einstellungen\luexx\Anwendungsdaten\Dropbox
2012-03-20 11:22 . 2012-03-20 11:22 -------- d-----w- i:\dokumente und einstellungen\luexx\Anwendungsdaten\Windows Search
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-04 13:56 . 2009-06-17 10:57 22344 ----a-w- i:\windows\system32\drivers\mbam.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-01-11 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . i:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NoAds"="i:\dokumente und einstellungen\luexx\Desktop\desktopmüll\toolz\NoAds\NoAds.exe" [2006-12-08 151552]
"UpgradeChecker"="i:\dokumente und einstellungen\luexx\Anwendungsdaten\Google Inc.\{21F997AA-CC95-4BB3-87E3-15818E93D1A7}\UpgradeChecker.exe" [2012-04-16 248320]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mirabilis ICQ"="i:\progra~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"amd_dc_opt"="i:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
.
i:\dokumente und einstellungen\luexx\Startmenü\Programme\Autostart\
dduptime.lnk - c:\dduptime\dduptime.exe [2002-1-25 57344]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
i:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AsusStartupHelp]
2006-11-14 06:25 363008 ----a-r- i:\programme\ASUS\AASP\1.00.17\AsRunHelp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
2009-02-26 15:04 2376992 ----a-w- i:\programme\Nokia\Nokia Music\NokiaMusic.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSU_agent]
2011-10-19 13:53 190768 ----a-w- i:\programme\Nokia\Nokia Software Updater\nsu3ui_agent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-12-25 23:08 13680640 ----a-w- i:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
2007-09-04 18:25 81920 ----a-w- i:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2008-12-25 23:08 86016 ----a-w- i:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2008-12-25 23:08 1657376 ----a-w- i:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
2008-05-02 04:15 15872 ----a-w- i:\programme\Unlocker\UnlockerAssistant.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"NVIDIA nTune"="i:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="i:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"i:\\WINDOWS\\system32\\sessmgr.exe"=
"i:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"i:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\toolz\\Orbitdownloader\\orbitdm.exe"=
"e:\\toolz\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R0 sptd;sptd;i:\windows\system32\drivers\sptd.sys [13.12.2009 07:32 717296]
R1 atitray;atitray;e:\programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys [09.12.2011 20:36 17952]
R2 acedrv11;acedrv11;i:\windows\system32\drivers\ACEDRV11.sys [23.01.2008 10:19 501560]
R3 MBAMProtector;MBAMProtector;i:\windows\system32\drivers\mbam.sys [17.06.2009 12:57 22344]
S0 Lbd;Lbd;i:\windows\system32\DRIVERS\Lbd.sys --> i:\windows\system32\DRIVERS\Lbd.sys [?]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [17.06.2009 12:57 654408]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\i:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> i:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 Mkd2kfNt;Mkd2kfNt;i:\windows\system32\drivers\Mkd2kfNT.sys [30.06.2010 19:02 133632]
S3 Mkd2Nadr;Mkd2Nadr;i:\windows\system32\drivers\Mkd2Nadr.sys [30.06.2010 19:02 79360]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;i:\windows\system32\drivers\nmwcdnsu.sys [26.11.2011 14:07 137600]
S3 nmwcdnsuc;Nokia USB Flashing Generic;i:\windows\system32\drivers\nmwcdnsuc.sys [26.11.2011 14:07 8576]
S3 NTProcDrv;Process creation detector for NT.;i:\dokumente und einstellungen\luexx\Desktop\desktopmüll\isro\NTProcDrv.sys [19.02.2009 23:29 3584]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;i:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 14:41 10064]
S3 XDva359;XDva359;\??\i:\windows\system32\XDva359.sys --> i:\windows\system32\XDva359.sys [?]
S3 XDva391;XDva391;\??\i:\windows\system32\XDva391.sys --> i:\windows\system32\XDva391.sys [?]
S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;i:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [21.11.2011 16:11 1052480]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Download by Orbit - e:\toolz\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - e:\toolz\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - e:\toolz\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - e:\toolz\Orbitdownloader\orbitmxt.dll/202
IE: Free YouTube Download - i:\dokumente und einstellungen\luexx\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - i:\dokumente und einstellungen\luexx\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Post Image to Blog - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5003
IE: Tag This Image - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5002
IE: Transload Image to ImageShack - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5004
IE: Upload All Images to ImageShack - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5000
IE: Upload Image to ImageShack - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5001
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - i:\dokumente und einstellungen\luexx\Anwendungsdaten\Mozilla\Firefox\Profiles\9tz86s3h.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 4
FF - Ext: SearchSettings Plugin: search@searchsettings.com - i:\programme\Mozilla Firefox\extensions\search@searchsettings.com
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - i:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: FireTorrent: firetorrent@radicalsoft.com - %profile%\extensions\firetorrent@radicalsoft.com
FF - Ext: Illimitux: illimitux@illimitux.net - %profile%\extensions\illimitux@illimitux.net
FF - Ext: Flash Video Resources Downloader: max@subfighter.com - %profile%\extensions\max@subfighter.com
FF - Ext: Prism for Firefox: refractor@developer.mozilla.org - %profile%\extensions\refractor@developer.mozilla.org
FF - Ext: All-in-One Sidebar: {097d3191-e6fa-4728-9826-b533d755359d} - %profile%\extensions\{097d3191-e6fa-4728-9826-b533d755359d}
FF - Ext: Live HTTP Headers: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a} - %profile%\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Sothink SWF Catcher: {FCAB6FDD-5585-425b-95C1-5ED856F3FD08} - %profile%\extensions\{FCAB6FDD-5585-425b-95C1-5ED856F3FD08}
FF - Ext: Edit Cookies: {ea2b95c2-9be8-48ed-bdd1-5fcd2ad0ff99} - %profile%\extensions\{ea2b95c2-9be8-48ed-bdd1-5fcd2ad0ff99}
FF - Ext: Free YouTube Download (Free Studio) Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: 20-20 3D Viewer - IKEA: 2020Player_IKEA@2020Technologies.com - %profile%\extensions\2020Player_IKEA@2020Technologies.com
FF - Ext: Titlebar Tweaks [de]: titlebartweaks@updated.com - %profile%\extensions\titlebartweaks@updated.com
FF - Ext: Java Quick Starter: jqs@sun.com - i:\programme\Java\jre6\lib\deploy\jqs\ff
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: dom.disable_window_open_feature.menubar - true
FF - user.js: dom.disable_window_open_feature.scrollbars - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Ad-Watch - i:\programme\Lavasoft\Ad-Aware\AAWTray.exe
MSConfigStartUp-UpgradeChecker - i:\dokumente und einstellungen\luexx\Anwendungsdaten\TeamViewer\{1C2150C6-BCBC-438F-A7DB-AE369A3434BA}\UpgradeChecker.exe
AddRemove-ESET Online Scanner - i:\programme\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe
AddRemove-2kv4.8.442 - i:\windows\Radeon Omega Drivers v4.8.442
AddRemove-xp-AntiSpy - i:\programme\xp-AntiSpy\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-18 22:44
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(748)
i:\windows\system32\Ati2evxx.dll
i:\windows\system32\atiadlxx.dll
.
Zeit der Fertigstellung: 2012-04-18 22:45:44
ComboFix-quarantined-files.txt 2012-04-18 20:45
.
Vor Suchlauf: 8.379.482.112 Bytes frei
Nach Suchlauf: 8.335.429.632 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=O10P5B noguiboot
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=O10P5B-BAK
.
- - End Of File - - 12C27075BCEC4DB12072AF34E9969C3C
|
|
18.04.2012, 21:52
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. Führ bitte erstmal CF aus!
__________________
__________________ |
|
19.04.2012, 06:20
| #3 |
| | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. erledigt, siehe oben drüber
__________________ |
|
19.04.2012, 17:54
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. Wieso hast du nur das SP2 und den IE6 für dein WinXP drauf? Man muss sein System schon aktuell halten! Machen wir später! Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpgradeChecker"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
File::
i:\dokumente und einstellungen\luexx\Anwendungsdaten\Google Inc.\{21F997AA-CC95-4BB3-87E3-15818E93D1A7}\UpgradeChecker.exe
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
19.04.2012, 18:26
| #5 |
| | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. alles klar, wird gleich gemacht. IE hatte ich noch NIE benutzt, daher war mir der bis dato vollkommen egal... SP2.. ja.. ich bin auch so ein gebrandmarktes kind.. einmal nen rechner gehabt mit automatischen updates, nach nem update ging nichts mehr.. deswegen habe ich seit dem schön nach der devise gelebt: Never touch a running system! bis gleich so, rechner ist neugestartet, firewall ist automatisch an... hier log: Code:
ATTFilter ComboFix 12-04-18.02 - luexx 19.04.2012 19:27:02.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1526 [GMT 2:00]
ausgeführt von:: i:\dokumente und einstellungen\luexx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: i:\dokumente und einstellungen\luexx\Desktop\CFScript.txt
.
FILE ::
"i:\dokumente und einstellungen\luexx\Anwendungsdaten\Google Inc.\{21F997AA-CC95-4BB3-87E3-15818E93D1A7}\UpgradeChecker.exe"
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
i:\dokumente und einstellungen\luexx\Anwendungsdaten\Google Inc.\{21F997AA-CC95-4BB3-87E3-15818E93D1A7}\UpgradeChecker.exe
i:\dokumente und einstellungen\luexx\Anwendungsdaten\Google Inc.\{21F997AA-CC95-4BB3-87E3-15818E93D1A7}\UpgradeChecker.exe . . . . Nicht in der Lage zu löschen
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-19 bis 2012-04-19 ))))))))))))))))))))))))))))))
.
.
2012-04-18 15:57 . 2012-04-18 20:29 -------- d-----w- I:\_OTL
2012-04-16 22:55 . 2012-04-16 22:55 -------- d-----w- i:\programme\Process Revealer Free Edition
2012-04-16 22:55 . 2012-04-16 22:55 -------- d-----w- i:\dokumente und einstellungen\All Users\Anwendungsdaten\prfree
2012-04-16 21:12 . 2012-04-16 21:12 -------- d-----w- i:\programme\SecurityXploded
2012-04-10 18:21 . 2012-04-10 18:21 -------- d-----w- i:\dokumente und einstellungen\luexx\Anwendungsdaten\Windows Desktop Search
2012-04-10 18:04 . 2012-04-10 18:04 -------- d-----w- i:\programme\ESET
2012-04-10 17:56 . 2012-04-10 17:56 -------- d-----w- i:\programme\CCleaner
2012-04-09 19:21 . 2012-04-16 22:50 -------- d-----w- i:\dokumente und einstellungen\luexx\Anwendungsdaten\Google Inc
2012-04-09 19:11 . 2012-04-09 19:11 -------- d-----w- I:\TDSSKiller_Quarantine
2012-04-09 18:39 . 2012-04-09 18:39 -------- d-----w- i:\windows\system32\wbem\Repository
2012-04-09 18:20 . 2012-04-09 18:20 -------- d-----w- i:\dokumente und einstellungen\luexx\Anwendungsdaten\SUPERAntiSpyware.com
2012-04-09 18:20 . 2012-04-09 18:20 -------- d-----w- i:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2012-03-26 20:23 . 2012-03-26 20:23 -------- d-----w- i:\dokumente und einstellungen\luexx\Anwendungsdaten\Dropbox
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-04 13:56 . 2009-06-17 10:57 22344 ----a-w- i:\windows\system32\drivers\mbam.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-01-11 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . i:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2012-04-18_20.45.01 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-04-19 17:31 . 2012-04-19 17:31 16384 i:\windows\temp\Perflib_Perfdata_6e8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NoAds"="i:\dokumente und einstellungen\luexx\Desktop\desktopmüll\toolz\NoAds\NoAds.exe" [2006-12-08 151552]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mirabilis ICQ"="i:\progra~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"amd_dc_opt"="i:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
.
i:\dokumente und einstellungen\luexx\Startmenü\Programme\Autostart\
dduptime.lnk - c:\dduptime\dduptime.exe [2002-1-25 57344]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
i:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AsusStartupHelp]
2006-11-14 06:25 363008 ----a-r- i:\programme\ASUS\AASP\1.00.17\AsRunHelp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
2009-02-26 15:04 2376992 ----a-w- i:\programme\Nokia\Nokia Music\NokiaMusic.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSU_agent]
2011-10-19 13:53 190768 ----a-w- i:\programme\Nokia\Nokia Software Updater\nsu3ui_agent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-12-25 23:08 13680640 ----a-w- i:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
2007-09-04 18:25 81920 ----a-w- i:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2008-12-25 23:08 86016 ----a-w- i:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2008-12-25 23:08 1657376 ----a-w- i:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
2008-05-02 04:15 15872 ----a-w- i:\programme\Unlocker\UnlockerAssistant.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"NVIDIA nTune"="i:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="i:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"i:\\WINDOWS\\system32\\sessmgr.exe"=
"i:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"i:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\toolz\\Orbitdownloader\\orbitdm.exe"=
"e:\\toolz\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R0 sptd;sptd;i:\windows\system32\drivers\sptd.sys [13.12.2009 07:32 717296]
R1 atitray;atitray;e:\programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys [09.12.2011 20:36 17952]
R2 acedrv11;acedrv11;i:\windows\system32\drivers\ACEDRV11.sys [23.01.2008 10:19 501560]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [17.06.2009 12:57 654408]
R3 MBAMProtector;MBAMProtector;i:\windows\system32\drivers\mbam.sys [17.06.2009 12:57 22344]
S0 Lbd;Lbd;i:\windows\system32\DRIVERS\Lbd.sys --> i:\windows\system32\DRIVERS\Lbd.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\i:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> i:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 Mkd2kfNt;Mkd2kfNt;i:\windows\system32\drivers\Mkd2kfNT.sys [30.06.2010 19:02 133632]
S3 Mkd2Nadr;Mkd2Nadr;i:\windows\system32\drivers\Mkd2Nadr.sys [30.06.2010 19:02 79360]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;i:\windows\system32\drivers\nmwcdnsu.sys [26.11.2011 14:07 137600]
S3 nmwcdnsuc;Nokia USB Flashing Generic;i:\windows\system32\drivers\nmwcdnsuc.sys [26.11.2011 14:07 8576]
S3 NTProcDrv;Process creation detector for NT.;i:\dokumente und einstellungen\luexx\Desktop\desktopmüll\isro\NTProcDrv.sys [19.02.2009 23:29 3584]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;i:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 14:41 10064]
S3 XDva359;XDva359;\??\i:\windows\system32\XDva359.sys --> i:\windows\system32\XDva359.sys [?]
S3 XDva391;XDva391;\??\i:\windows\system32\XDva391.sys --> i:\windows\system32\XDva391.sys [?]
S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;i:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [21.11.2011 16:11 1052480]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Download by Orbit - e:\toolz\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - e:\toolz\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - e:\toolz\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - e:\toolz\Orbitdownloader\orbitmxt.dll/202
IE: Free YouTube Download - i:\dokumente und einstellungen\luexx\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - i:\dokumente und einstellungen\luexx\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Post Image to Blog - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5003
IE: Tag This Image - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5002
IE: Transload Image to ImageShack - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5004
IE: Upload All Images to ImageShack - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5000
IE: Upload Image to ImageShack - i:\programme\ImageShackToolbar\ImageShackToolbar.dll/5001
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - i:\dokumente und einstellungen\luexx\Anwendungsdaten\Mozilla\Firefox\Profiles\9tz86s3h.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 4
FF - Ext: SearchSettings Plugin: search@searchsettings.com - i:\programme\Mozilla Firefox\extensions\search@searchsettings.com
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - i:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - i:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: FireTorrent: firetorrent@radicalsoft.com - %profile%\extensions\firetorrent@radicalsoft.com
FF - Ext: Illimitux: illimitux@illimitux.net - %profile%\extensions\illimitux@illimitux.net
FF - Ext: Flash Video Resources Downloader: max@subfighter.com - %profile%\extensions\max@subfighter.com
FF - Ext: Prism for Firefox: refractor@developer.mozilla.org - %profile%\extensions\refractor@developer.mozilla.org
FF - Ext: All-in-One Sidebar: {097d3191-e6fa-4728-9826-b533d755359d} - %profile%\extensions\{097d3191-e6fa-4728-9826-b533d755359d}
FF - Ext: Live HTTP Headers: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a} - %profile%\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Sothink SWF Catcher: {FCAB6FDD-5585-425b-95C1-5ED856F3FD08} - %profile%\extensions\{FCAB6FDD-5585-425b-95C1-5ED856F3FD08}
FF - Ext: Edit Cookies: {ea2b95c2-9be8-48ed-bdd1-5fcd2ad0ff99} - %profile%\extensions\{ea2b95c2-9be8-48ed-bdd1-5fcd2ad0ff99}
FF - Ext: Free YouTube Download (Free Studio) Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: 20-20 3D Viewer - IKEA: 2020Player_IKEA@2020Technologies.com - %profile%\extensions\2020Player_IKEA@2020Technologies.com
FF - Ext: Titlebar Tweaks [de]: titlebartweaks@updated.com - %profile%\extensions\titlebartweaks@updated.com
FF - Ext: Java Quick Starter: jqs@sun.com - i:\programme\Java\jre6\lib\deploy\jqs\ff
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: dom.disable_window_open_feature.menubar - true
FF - user.js: dom.disable_window_open_feature.scrollbars - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-19 19:31
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(716)
i:\windows\system32\Ati2evxx.dll
i:\windows\system32\atiadlxx.dll
.
- - - - - - - > 'explorer.exe'(4008)
i:\dokumente und einstellungen\luexx\Desktop\desktopmüll\toolz\NoAds\NoAds.dll
i:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
i:\programme\WinSCP\DragExt.dll
i:\windows\system32\PortableDeviceTypes.dll
i:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
i:\windows\system32\Ati2evxx.exe
i:\windows\system32\Ati2evxx.exe
i:\programme\Java\jre6\bin\jqs.exe
i:\windows\system32\wscntfy.exe
i:\windows\system32\rundll32.exe
i:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-19 19:32:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-04-19 17:32
ComboFix2.txt 2012-04-18 20:45
.
Vor Suchlauf: 8.320.008.192 Bytes frei
Nach Suchlauf: 8.313.073.664 Bytes frei
.
- - End Of File - - A5C083EEA1B10E9E2368289599F7FA50
|
|
19.04.2012, 18:52
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. Ist die Upgradechecker immer noch da? CF meldet, dass es diese nicht löschen konnte 
__________________ --> "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. |
|
19.04.2012, 19:04
| #7 |
| | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. jep ist immernoch noch da... sehr strange.. manuell löschen kann ich die datei ja.. aber hinter der datei muss ja noch irgendne andere stecken, die diesen upgradechecker immer wieder erstellt... |
|
19.04.2012, 19:20
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.04.2012, 20:10
| #9 |
| | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. so..hier nun gmer: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-04-19 20:58:20
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\00000073 ST3320620AS rev.3.AAK
Running: 1wt8mbg4.exe; Driver: E:\TEMP\fxrcikog.sys
---- System - GMER 1.0.15 ----
SSDT spvq.sys ZwCreateKey [0xB9EA80E0]
SSDT spvq.sys ZwEnumerateKey [0xB9EC6CA2]
SSDT spvq.sys ZwEnumerateValueKey [0xB9EC7030]
SSDT spvq.sys ZwOpenKey [0xB9EA80C0]
SSDT spvq.sys ZwQueryKey [0xB9EC7108]
SSDT spvq.sys ZwQueryValueKey [0xB9EC6F88]
SSDT spvq.sys ZwSetValueKey [0xB9EC719A]
INT 0x63 ? 89DCCBF8
INT 0x73 ? 89DCCBF8
INT 0xA4 ? 89BC1BF8
INT 0xB4 ? 89BC1BF8
---- Kernel code sections - GMER 1.0.15 ----
? spvq.sys Das System kann die angegebene Datei nicht finden. !
? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B89DD62C 5 Bytes JMP 89BC11D8
.text I:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB81BE000, 0x2BCD8C, 0xE8000020]
.reloc I:\WINDOWS\system32\drivers\acedrv11.sys section is executable [0x9C512480, 0x306DD, 0xE0000060]
? I:\ComboFix\catchme.sys Das System kann den angegebenen Pfad nicht finden. !
? I:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text I:\Programme\Mozilla Firefox\firefox.exe[1348] WS2_32.dll!connect 71A1406A 5 Bytes JMP 053D2850 E:\toolz\Orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabKernel.dll
.text I:\Programme\Mozilla Firefox\firefox.exe[1348] WS2_32.dll!WSAConnect 71A20C69 5 Bytes JMP 053D2A50 E:\toolz\Orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabKernel.dll
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA9040] spvq.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA913C] spvq.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA90BE] spvq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA97FC] spvq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA96D2] spvq.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EB9048] spvq.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89DCB1F8
Device \Driver\usbohci \Device\USBPDO-0 89B841F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89DCD1F8
Device \Driver\dmio \Device\DmControl\DmConfig 89DCD1F8
Device \Driver\dmio \Device\DmControl\DmPnP 89DCD1F8
Device \Driver\dmio \Device\DmControl\DmInfo 89DCD1F8
Device \Driver\usbehci \Device\USBPDO-1 89BC01F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89D5D1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89D5D1F8
Device \Driver\Cdrom \Device\CdRom0 89BBF1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 89D5D1F8
Device \Driver\nvata \Device\00000073 89DCC1F8
Device \Driver\atapi \Device\Ide\IdePort0 89D5C1F8
Device \Driver\atapi \Device\Ide\IdePort1 89D5C1F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 89D5D1F8
Device \Driver\nvata \Device\00000075 89DCC1F8
Device \Driver\Ftdisk \Device\HarddiskVolume5 89D5D1F8
Device \Driver\Ftdisk \Device\HarddiskVolume6 89D5D1F8
Device \Driver\nvata \Device\00000076 89DCC1F8
Device \Driver\Ftdisk \Device\HarddiskVolume7 89D5D1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 898D5500
Device \Driver\Ftdisk \Device\HarddiskVolume8 89D5D1F8
Device \Driver\NetBT \Device\NetbiosSmb 898D5500
Device \Driver\Ftdisk \Device\HarddiskVolume9 89D5D1F8
Device \Driver\usbohci \Device\USBFDO-0 89B841F8
Device \Driver\usbehci \Device\USBFDO-1 89BC01F8
Device \Driver\nvata \Device\NvAta0 89DCC1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89A051F8
Device \Driver\nvata \Device\NvAta1 89DCC1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89A051F8
Device \Driver\Ftdisk \Device\FtControl 89D5D1F8
Device \FileSystem\Cdfs \Cdfs 899DF500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 21:08:40 on 19.04.2012 OS: Windows XP Professional Service Pack 2 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.2180 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "DivXControlPanelApplet.cpl" - "DivX, Inc." - I:\WINDOWS\system32\DivXControlPanelApplet.cpl "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - I:\WINDOWS\system32\FlashPlayerCPLApp.cpl "infocardcpl.cpl" - "Microsoft Corporation" - I:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - I:\WINDOWS\system32\javacpl.cpl "nvcpl.cpl" - "NVIDIA Corporation" - I:\WINDOWS\system32\nvcpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - I:\WINDOWS\system32\nvtuicpl.cpl "PhysX.cpl" - "NVIDIA Corporation" - I:\WINDOWS\system32\PhysX.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Nero BurnRights" - "Nero AG" - I:\Programme\Nero\Nero8\Nero Toolkit\NeroBurnRights.cpl "NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "acedrv11" (acedrv11) - "Protect Software GmbH" - I:\WINDOWS\system32\drivers\acedrv11.sys "AsIO" (AsIO) - ? - I:\WINDOWS\System32\drivers\AsIO.sys (File found, but it contains no detailed information) "atitray" (atitray) - ? - E:\Programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys (File found, but it contains no detailed information) "catchme" (catchme) - ? - I:\ComboFix\catchme.sys (File not found) "fxrcikog" (fxrcikog) - ? - E:\TEMP\fxrcikog.sys (Hidden registry entry, rootkit activity | File not found) "Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - I:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys (File not found) "Lbd" (Lbd) - ? - I:\WINDOWS\System32\DRIVERS\Lbd.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - I:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - I:\WINDOWS\system32\drivers\mbam.sys "mbr" (mbr) - ? - E:\TEMP\mbr.sys (Hidden registry entry, rootkit activity | File not found) "Mkd2kfNt" (Mkd2kfNt) - "AhnLab, Inc." - I:\WINDOWS\System32\drivers\Mkd2kfNt.sys "Mkd2Nadr" (Mkd2Nadr) - "AhnLab, Inc." - I:\WINDOWS\System32\drivers\Mkd2Nadr.sys "NVR0Dev" (NVR0Dev) - "NVidia Corp." - I:\WINDOWS\nvoclock.sys "PCIDump" (PCIDump) - ? - I:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - I:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - I:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - I:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - I:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Process creation detector for NT." (NTProcDrv) - ? - I:\Dokumente und Einstellungen\luexx\Desktop\desktopmüll\isro\NtProcDrv.sys (File found, but it contains no detailed information) "PxHelp20" (PxHelp20) - "Sonic Solutions" - I:\WINDOWS\System32\Drivers\PxHelp20.sys "Secdrv" (Secdrv) - ? - I:\WINDOWS\System32\DRIVERS\secdrv.sys (File signed by Microsoft | File found, but it contains no detailed information) "sptd" (sptd) - "Duplex Secure Ltd." - I:\WINDOWS\System32\Drivers\sptd.sys (File is exclusively opened, access blocked) "TuneUpUtilitiesDrv" (TuneUpUtilitiesDrv) - "TuneUp Software" - I:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys "VMware Virtual Ethernet Adapter Driver" (VMnetAdapter) - ? - I:\WINDOWS\System32\DRIVERS\vmnetadapter.sys (File not found) "WDICA" (WDICA) - ? - I:\WINDOWS\system32\drivers\WDICA.sys (File not found) "XDva359" (XDva359) - ? - I:\WINDOWS\system32\XDva359.sys (File not found) "XDva391" (XDva391) - ? - I:\WINDOWS\system32\XDva391.sys (File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - I:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - I:\WINDOWS\system32\Rundll32.exe I:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - I:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - I:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - I:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - I:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - I:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - I:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - I:\WINDOWS\system32\nvshell.dll {872A9397-E0D6-4e28-B64D-52B8D0A7EA35} "DisplayCplExt Class" - "Advanced Micro Devices, Inc." - E:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll {F802F260-519B-11D1-BB5D-0060974C6013} "ICQ Shell Extension" - "ICQ" - I:\Programme\ICQ\ICQShExt.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - I:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - I:\WINDOWS\system32\nvshell.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - I:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - I:\WINDOWS\system32\dfshim.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - E:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll {4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - I:\Programme\TuneUp Utilities 2010\DseShExt-x86.dll {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - I:\Programme\TuneUp Utilities 2010\SDShelEx-win32.dll {44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - I:\WINDOWS\System32\uxtuneup.dll {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} "UnlockerShellExtension" - ? - I:\Programme\Unlocker\UnlockerCOM.dll (File found, but it contains no detailed information) {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - I:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information) AMCShellExtensions "{BB2F336B-4A00-4D61-92A0-7A20A6ED4C0A}" - ? - (File not found | COM-object registry key not found) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {6932D140-ABC4-4073-A44C-D4A541665E35} "ImageShack Toolbar" - "ImageShack Corp." - I:\Programme\ImageShackToolbar\ImageShackToolbar.dll / hxxp://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab {CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA} "Java Plug-in 1.5.0_12" - "Sun Microsystems, Inc." - I:\Programme\Java\jre1.5.0_12\bin\npjpi150_12.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_12-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - I:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - I:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - I:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab {6E718D87-6909-4FCE-92D4-EDCB2F725727} "Navigram Control" - "Navigram" - I:\Programme\Navigram\NavigramEngine\navigram.ocx / hxxp://www.navigram.com/engine/v911/Navigram.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - I:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {1E54D648-B804-468d-BC78-4AFFED8E262E} "System Requirements Lab Class" - "Husdawg, LLC" - I:\WINDOWS\Downloaded Program Files\sysreqlab_srl.dll / hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab {EDFCB7CB-942C-4822-AF14-F0B687409848} "{EDFCB7CB-942C-4822-AF14-F0B687409848}" - ? - (File not found | COM-object registry key not found) / hxxp://lokalisten.de/iup/ImageUploader4.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "ICQ Pro" - "ICQ Inc." - I:\PROGRA~1\ICQ\ICQ.exe -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {6932D140-ABC4-4073-A44C-D4A541665E35} "ImageShack Toolbar" - "ImageShack Corp." - I:\Programme\ImageShackToolbar\ImageShackToolbar.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - I:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - I:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {000123B4-9B42-4900-B3F7-F4B073EFC214} "Octh Class" - "Orbitdownloader.com" - E:\toolz\Orbitdownloader\orbitcth.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - I:\Programme\Java\jre6\bin\ssv.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "dduptime.lnk" - ? - C:\dduptime\dduptime.exe (Shortcut exists | File exists) "desktop.ini" - ? - I:\Dokumente und Einstellungen\luexx\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "NoAds" - "South Bay Software" - "I:\Dokumente und Einstellungen\luexx\Desktop\desktopmüll\toolz\NoAds\NoAds.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "amd_dc_opt" - "AMD" - I:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe "Mirabilis ICQ" - ? - I:\PROGRA~1\ICQ\ICQNet.exe (File found, but it contains no detailed information) [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "PDFCreator" - ? - I:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - I:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - I:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Automatic Updates" (wuauserv) - ? - C:\WINDOWS\system32\wuauserv.dll (File not found) "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - I:\Programme\Java\jre6\bin\jqs.exe "MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe "nTune Service" (nTuneService) - "NVIDIA" - I:\Programme\NVIDIA Corporation\nTune\nTuneService.exe "ServiceLayer" (ServiceLayer) - "Nokia" - I:\Programme\PC Connectivity Solution\ServiceLayer.exe "TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - I:\WINDOWS\System32\uxtuneup.dll "Windows CardSpace" (idsvc) - "Microsoft Corporation" - I:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - I:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-19 21:11:13
-----------------------------
21:11:13.640 OS Version: Windows 5.1.2600 Service Pack 2
21:11:13.640 Number of processors: 2 586 0x4B02
21:11:13.640 ComputerName: REICHSSCHAF UserName: luexx
21:11:14.000 Initialize success
21:13:50.203 AVAST engine defs: 12041900
21:13:58.953 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000073
21:13:58.953 Disk 0 Vendor: ST3320620AS 3.AAK Size: 305245MB BusType: 3
21:13:58.953 Disk 1 \Device\Harddisk1\DR1 -> \Device\00000075
21:13:58.953 Disk 1 Vendor: ST3250410AS 3.AAC Size: 238475MB BusType: 3
21:13:58.953 Device \Driver\nvata -> MajorFunction 89dcc1f8
21:13:58.968 Disk 0 MBR read successfully
21:13:58.968 Disk 0 MBR scan
21:13:58.984 Disk 0 Windows XP default MBR code
21:13:58.984 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 61443 MB offset 63
21:13:58.984 Disk 0 Partition - 00 0F Extended LBA 243791 MB offset 125837145
21:13:59.000 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 61443 MB offset 125837208
21:13:59.000 Disk 0 Partition - 00 05 Extended 61443 MB offset 251674290
21:13:59.015 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 61443 MB offset 251674353
21:13:59.015 Disk 0 Partition - 00 05 Extended 20481 MB offset 503348580
21:13:59.031 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 20481 MB offset 377511498
21:13:59.046 Disk 0 Partition - 00 05 Extended 100421 MB offset 671131440
21:13:59.062 Disk 0 Partition 5 00 07 HPFS/NTFS NTFS 100421 MB offset 419457213
21:13:59.078 Disk 0 scanning sectors +625121280
21:13:59.203 Disk 0 scanning I:\WINDOWS\system32\drivers
21:14:17.515 Service scanning
21:14:24.234 Service sptd I:\WINDOWS\System32\Drivers\sptd.sys **LOCKED** 32
21:14:26.750 Modules scanning
21:14:56.609 Disk 0 trace - called modules:
21:14:56.625 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89dcc1f8]<<
21:14:56.625 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89c40ab8]
21:14:56.625 3 CLASSPNP.SYS[ba10905b] -> nt!IofCallDriver -> \Device\00000074[0x89d1bf18]
21:14:56.625 5 ACPI.sys[b9e66620] -> nt!IofCallDriver -> \Device\00000073[0x89c4d030]
21:14:56.640 \Driver\nvata[0x89cece28] -> IRP_MJ_CREATE -> 0x89dcc1f8
21:14:56.781 AVAST engine scan I:\WINDOWS
21:15:06.375 AVAST engine scan I:\WINDOWS\system32
21:20:17.359 AVAST engine scan I:\WINDOWS\system32\drivers
21:20:42.562 AVAST engine scan I:\Dokumente und Einstellungen\luexx
21:21:27.593 File: I:\Dokumente und Einstellungen\luexx\Anwendungsdaten\Google Inc\{21F997AA-CC95-4BB3-87E3-15818E93D1A7}\UpgradeChecker.exe **INFECTED** Win32:Malware-gen
21:32:29.062 AVAST engine scan I:\Dokumente und Einstellungen\All Users
21:33:55.250 Scan finished successfully
21:35:10.968 Disk 0 MBR has been saved successfully to "I:\Dokumente und Einstellungen\luexx\Desktop\MBR.dat"
21:35:10.968 The log file has been saved successfully to "I:\Dokumente und Einstellungen\luexx\Desktop\aswMBR.txt"
|
|
20.04.2012, 11:16
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. Hm, versuchen wir nochmal einen OTL-Fix um die Upgradechecker zu löschen Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!) Code:
ATTFilter :Files
I:\Dokumente und Einstellungen\luexx\Anwendungsdaten\Google Inc\{21F997AA-CC95-4BB3-87E3-15818E93D1A7}\UpgradeChecker.exe
:Commands
[emptytemp]
[emptyflash]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.04.2012, 17:39
| #11 |
| | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. hier ist das log: Code:
ATTFilter All processes killed
========== FILES ==========
I:\Dokumente und Einstellungen\luexx\Anwendungsdaten\Google Inc\{21F997AA-CC95-4BB3-87E3-15818E93D1A7}\UpgradeChecker.exe moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: luexx
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 54163513 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 86824891 bytes
->Google Chrome cache emptied: 18051249 bytes
->Flash cache emptied: 977 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 4272474 bytes
Total Files Cleaned = 156,00 mb
[EMPTYFLASH]
User: All Users
User: Default User
User: LocalService
User: luexx
bzw was in: Anwendungsdaten\Identities sein sollte, lt.. google in unterordnern dieser cryptischen zahlen, zb outlook save.. aber die sind entweder alle leer, oder haben eine xxxxx.dat datei drin... können die auch von der infizierung sein? - sonst war nach dem neustart erstmal kein upgradechecker mehr da... |
|
20.04.2012, 20:28
| #12 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund.Zitat:
Schonmal gut, dass die Upgradechecker nun auch weg ist Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.04.2012, 03:15
| #13 |
| | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. ahjo.. na denne.. so, malwarebytes hatte ich (ich kann wohl gedankenlesen) 2minuten bevor ich ins forum geschaut hatte gemacht  Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.20.03 Windows XP Service Pack 2 x86 NTFS Internet Explorer 6.0.2900.2180 luexx :: REICHSSCHAF [Administrator] Schutz: Deaktiviert 20.04.2012 21:27:14 mbam-log-2012-04-20 (21-27-14).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 229956 Laufzeit: 11 Minute(n), 35 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 04/20/2012 at 10:41 PM
Application Version : 5.0.1146
Core Rules Database Version : 8491
Trace Rules Database Version: 6303
Scan type : Complete Scan
Total Scan Time : 00:40:16
Operating System Information
Windows XP Professional 32-bit, Service Pack 2 (Build 5.01.2600)
Administrator
Memory items scanned : 468
Memory threats detected : 0
Registry items scanned : 34643
Registry threats detected : 3
File items scanned : 63425
File threats detected : 85
Disabled.SecurityCenterOption
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#ANTIVIRUSDISABLENOTIFY
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#FIREWALLDISABLENOTIFY
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY
PUP.AngryIPScanner
E:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049632.EXE
Adware.Tracking Cookie
F:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\COOKIES\SYSTEM@ATDMT[1].TXT [ /ATDMT ]
accounts.google.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
accounts.google.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.youporn.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.youporn.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
www.youporn.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
www.youporn.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
rts.pgmediaserve.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
rts.pgmediaserve.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
rts.pgmediaserve.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.de.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.partypoker.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.zedo.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
www.star-advertising.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
www.star-advertising.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
www.star-advertising.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
www.star-advertising.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
www.star-advertising.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.exoclick.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.youporn.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.youporn.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.youporn.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.sexad.net [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
ads.crakmedia.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.revsci.net [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
de.sitestat.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.revsci.net [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.apmebf.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.mediaplex.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.doubleclick.net [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
ad.zanox.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.adfarm1.adition.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.zanox.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.webmasterplan.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.webmasterplan.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.zanox-affiliate.de [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.adfarm1.adition.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.mediaplex.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.adfarm1.adition.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.doubleclick.net [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.revsci.net [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.revsci.net [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.revsci.net [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.adfarm1.adition.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.adfarm1.adition.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
ad2.adfarm1.adition.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.adfarm1.adition.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.atdmt.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.atdmt.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.imrworldwide.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.imrworldwide.com [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
.mswmw7mobilemainprod.122.2o7.net [ I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
Rootkit.Agent/Haxdoor
F:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
Trojan.Agent/Gen-FakeAlert
G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE RIDER\PROGRAMME\POWERBLASTER\UNWISE.EXE
Trojan.Agent/Gen-Delf
ZIP ARCHIVE( G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE GEORDNET\MICROWORLD_ESCAN_V2003E_PRO_FOR_WINDOWS.ZIP )/KG.EXE
G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE GEORDNET\MICROWORLD_ESCAN_V2003E_PRO_FOR_WINDOWS.ZIP
Trojan.Agent/Gen-Krpytik
ZIP ARCHIVE( G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE SOUND\TEMP VON EIGENE DATEIEN\UNSAFEDISC_2_40_10.ZIP )/SAFECAST_V2_02_40/SAFECAST_V2_02_40_DUMPER.EXE
G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE SOUND\TEMP VON EIGENE DATEIEN\UNSAFEDISC_2_40_10.ZIP
ZIP ARCHIVE( G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE SOUND\TEMP VON EIGENE DATEIEN\UNSAFEDISC_2_40_10.ZIP )/SAFECAST_V2_02_40/SAFECAST_V2_02_40_REBUILDER.EXE
ZIP ARCHIVE( G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE SOUND\TEMP VON EIGENE DATEIEN\UNSAFEDISC_2_40_10.ZIP )/SAFEDISC_V2_10_30/SAFEDISC_V2_10_30_DUMPER.EXE
ZIP ARCHIVE( G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE SOUND\TEMP VON EIGENE DATEIEN\UNSAFEDISC_2_40_10.ZIP )/SAFEDISC_V2_40_10_DEVPAC/SOURCE/SAFEDISC_V2_40_10_REBUILDER.EXE
ZIP ARCHIVE( G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE SOUND\TEMP VON EIGENE DATEIEN\UNSAFEDISC_2_40_10.ZIP )/SAFEDISC_V2_40_10_DEVPAC/SOURCE/SAFEDISC_V2_40_10_DUMPER.EXE
ZIP ARCHIVE( G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE SOUND\TEMP VON EIGENE DATEIEN\UNSAFEDISC_2_40_10.ZIP )/SAFEDISC_V2_40_10_DUMPER.V1.2.NOCD/SAFEDISC_V2_40_10_DUMPER.EXE
ZIP ARCHIVE( G:\SICHERUNGSIMAGES\SICHERUNGSIMAGE SOUND\TEMP VON EIGENE DATEIEN\UNSAFEDISC_2_40_10.ZIP )/SAFEDISC_V2_40_10_DUMPER.V1.2.NOCD/SAFEDISC_V2_40_10_REBUILDER.EXE
Trojan.Agent/Gen-Autoit
I:\DOKUMENTE UND EINSTELLUNGEN\LUEXX\DESKTOP\DESKTOPMüLL\PRIVATE_SERVER_AUTOPOT.EXE
Trojan.Agent/Gen-Nullo[Short]
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049356.EXE
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049357.EXE
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049358.EXE
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049359.EXE
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049360.EXE
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049361.EXE
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049362.EXE
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049363.EXE
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049364.EXE
I:\SYSTEM VOLUME INFORMATION\_RESTORE{6C835DB8-5013-47D3-A685-D94AEDAE5488}\RP375\A0049365.EXE
holla... da war doch noch einiges an müll druff.. |
|
21.04.2012, 14:49
| #14 | ||||
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund.Zitat:
Zitat:
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Zitat:
SPTD ist eigentlicher ein Treiber von den Daemon-Tools... Zitat:
 Ansonsten nur eine Menge Cookies und noch etwas mehr Müll in den Wiederherstellungspunkten
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.04.2012, 16:12
| #15 | |||
| | "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund.Zitat:
Zitat:
Zitat:
2 kurze fragen noch, irgendwo hier hatte ich mal ne anleitung gelesen, wie man die alten javaversionen entfernen kann, mit nem tool, ich finds aber nich mehr...weisst du das zufällig? und: meine taskleiste ist fixiert auf doppelzeile, nach jedem neustart ist die immer noch fixiert, aber nur einzeilig, ne idee? |
|
| Themen zu "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund. |
| .dll, cdrom, dateien, desktop, downloader, einstellungen, explorer.exe, firefox, geld, harddisk, hintergrund, icq, iexplore.exe, internet, log, mozilla, ordner, programme, registry, rundll, rundll32.exe, scan, system, system32, temp, usbport.sys, wichtige daten |
Hybrid-Darstellung
