![]() |
|
Log-Analyse und Auswertung: Befall von Maleware nach Download (u.a. Serach.New.Tab). GMER meldet RootkitWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() ![]() | ![]() Befall von Maleware nach Download (u.a. Serach.New.Tab). GMER meldet Rootkit vHi Ich habe einen Android Stick für meinen Fernseher den ich mit einer neuen Firmware flashen musste. Die Firmware wurde auf folgender Seite hochgeladen: hxxp://uploading.com/ Da es eine sehr bekannte Seite war (geekbuying) habe ich auch nicht besonders aufgepasst beim download. Leider falsch gedacht. Denn beim entpacken der files wurde ein Downloader von der o.g. Seite installiert. Dabei Wurden einige Sachen mit installiert (darunter Plugins für Google Chrome etc.). Sofort habe ich Malewarebytes ausgeführt und habe die Befunde gelöscht. Allerdings ist mein PC deutlicher langsamer als vorher. Z.B. werden nach dem Windows Start die Symbole auf dem Desktop erst nach einigen Sekunden geladen was vorher nicht der Fall war. Hier die Logfiles: Zunächst Malewarebytes: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.10.27.04 Windows 8 x64 NTFS Internet Explorer 11.0.9600.16384 H :: MASTER [Administrator] 27.10.2013 18:05:03 mbam-log-2013-10-27 (18-05-03).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 222142 Laufzeit: 1 Minute(n), 11 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 11 HKCR\CLSID\{9F226218-5466-D8A0-4F3F-1133D14647E2} (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9F226218-5466-D8A0-4F3F-1133D14647E2} (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9F226218-5466-D8A0-4F3F-1133D14647E2} (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\CLSID\{EF69CF22-6CA6-FF4C-C308-75DAF04ABD5E} (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EF69CF22-6CA6-FF4C-C308-75DAF04ABD5E} (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF69CF22-6CA6-FF4C-C308-75DAF04ABD5E} (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755} (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F} (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C1A27135-69EB-8D44-7358-34727DD7B820} (PUP.Optional.MultiPlug.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A649E1FD-B445-B4EC-DDA4-AF7411013830} (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C670DCAE-E392-AA32-6F42-143C7FC4BDFD} (PUP.Optional.MultiPlug.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 1 C:\ProgramData\SearchNewTab (PUP.Optional.SearchNewTab) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 8 C:\Program Files (x86)\Diownloada keeoPearr\E87V4tQ5.dll (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files (x86)\SearchNewTab\OU62zf.dll (PUP.Optional.Multiplug) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Diownloada keeoPearr\ignvpsNVp.exe (PUP.Optional.MultiPlug.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\InstallMate\{1E495E23-F7D1-4940-ABAB-BFF3C5AA7CD5}\Setup.exe (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\InstallMate\{1E495E23-F7D1-4940-ABAB-BFF3C5AA7CD5}\TsuDll.dll (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\SearchNewTab\jmhRPeg.exe (PUP.Optional.MultiPlug.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\H\Downloads\flash tool 1.5.rar.exe (PUP.Optional.Installrex) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\H\Downloads\RockusbDriver.rar.exe (PUP.Optional.Installrex) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Gmer: Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net Rootkit scan 2013-10-28 15:25:16 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\00000029 M4-CT128M4SSD2 rev.000F 119,24GB Running: pwsjf110.exe; Driver: C:\Users\H\AppData\Local\Temp\ufldypow.sys ---- Kernel code sections - GMER 2.1 ---- .text C:\Windows\System32\win32k.sys!W32pServiceTable fffff960000e8e00 15 bytes [00, 9F, 0F, 02, 40, BA, 6F, ...] .text C:\Windows\System32\win32k.sys!W32pServiceTable + 16 fffff960000e8e10 11 bytes [00, E6, FB, FF, 80, 7E, D2, ...] ---- User code sections - GMER 2.1 ---- .text C:\Windows\system32\wininit.exe[656] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\services.exe[704] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\lsass.exe[712] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\svchost.exe[792] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\svchost.exe[836] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\winlogon.exe[904] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\dwm.exe[976] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\atiesrxx.exe[1008] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\atiesrxx.exe[1008] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ff83ae5169a 4 bytes [E5, 3A, F8, 7F] .text C:\Windows\system32\atiesrxx.exe[1008] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ff83ae516a2 4 bytes [E5, 3A, F8, 7F] .text C:\Windows\system32\atiesrxx.exe[1008] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ff83ae5181a 4 bytes [E5, 3A, F8, 7F] .text C:\Windows\system32\atiesrxx.exe[1008] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ff83ae51832 4 bytes [E5, 3A, F8, 7F] .text C:\Windows\System32\svchost.exe[328] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\System32\svchost.exe[376] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\svchost.exe[528] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\svchost.exe[532] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\atieclxx.exe[964] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\atieclxx.exe[964] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ff83ae5169a 4 bytes [E5, 3A, F8, 7F] .text C:\Windows\system32\atieclxx.exe[964] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ff83ae516a2 4 bytes [E5, 3A, F8, 7F] .text C:\Windows\system32\atieclxx.exe[964] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ff83ae5181a 4 bytes [E5, 3A, F8, 7F] .text C:\Windows\system32\atieclxx.exe[964] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ff83ae51832 4 bytes [E5, 3A, F8, 7F] .text C:\Windows\system32\svchost.exe[1236] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\System32\spoolsv.exe[1432] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\taskhostex.exe[1472] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\svchost.exe[1508] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\System32\rundll32.exe[1728] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\Explorer.EXE[1832] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\dashost.exe[1928] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\PostgreSQL\9.0\bin\pg_ctl.exe[2004] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\PostgreSQL\9.0\bin\pg_ctl.exe[2004] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ff832041f6a 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\pg_ctl.exe[2004] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ff832041f82 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[1112] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[1112] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ff832041f6a 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[1112] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ff832041f82 4 bytes [04, 32, F8, 7F] .text C:\Windows\system32\conhost.exe[1060] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[1612] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[1612] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ff832041f6a 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[1612] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ff832041f82 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2056] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2056] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ff832041f6a 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2056] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ff832041f82 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2064] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2064] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ff832041f6a 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2064] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ff832041f82 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2072] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2072] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ff832041f6a 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2072] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ff832041f82 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2084] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2084] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ff832041f6a 4 bytes [04, 32, F8, 7F] .text C:\Program Files\PostgreSQL\9.0\bin\postgres.exe[2084] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ff832041f82 4 bytes [04, 32, F8, 7F] .text C:\Windows\system32\svchost.exe[2644] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\svchost.exe[3364] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\SearchIndexer.exe[3736] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\System32\WUDFHost.exe[3788] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\System32\svchost.exe[3804] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\System32\SettingSyncHost.exe[3892] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\System32\skydrive.exe[1944] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\DllHost.exe[4396] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\Windows Media Player\wmpnetwk.exe[5400] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Program Files\Windows Media Player\wmpnetwk.exe[5400] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ff832041f6a 4 bytes [04, 32, F8, 7F] .text C:\Program Files\Windows Media Player\wmpnetwk.exe[5400] C:\Windows\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ff832041f82 4 bytes [04, 32, F8, 7F] .text C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe[5532] C:\Windows\system32\KERNEL32.dll!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] .text C:\Windows\system32\AUDIODG.EXE[2400] C:\Windows\SYSTEM32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ff83ad1978d 1 byte [62] ---- Threads - GMER 2.1 ---- Thread C:\Windows\system32\csrss.exe [664:744] fffff9600082c4d0 Thread C:\Windows\system32\csrss.exe [664:884] fffff9600082c4d0 Thread C:\Windows\System32\SettingSyncHost.exe [3892:4064] 00007ff82b4064f4 ---- Services - GMER 2.1 ---- Service C:\Windows\system32\drivers\aswFsBlk.sys (*** hidden *** ) [AUTO] aswFsBlk <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswMonFlt.sys (*** hidden *** ) [AUTO] aswMonFlt <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswRdr2.sys (*** hidden *** ) [SYSTEM] aswRdr <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswRvrt.sys (*** hidden *** ) [BOOT] aswRvrt <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswSnx.sys (*** hidden *** ) [SYSTEM] aswSnx <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswSP.sys (*** hidden *** ) [SYSTEM] aswSP <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswVmm.sys (*** hidden *** ) [BOOT] aswVmm <-- ROOTKIT !!! Service C:\Program Files\Avast\AvastSvc.exe (*** hidden *** ) [AUTO] avast! Antivirus <-- ROOTKIT !!! ---- Registry - GMER 2.1 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemStartTime 0x26 0x8B 0x99 0x79 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemLastStartTime 0xA0 0x4C 0xB3 0x80 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFStartTime 0x26 0x8B 0x99 0x79 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFLastStartTime 0x4F 0xD6 0xBC 0x80 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData\BootLanguages@de-DE 21 Reg HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\SAM08DC808531508_19_07DC_86+GSM000116843009_01_07DB_7F^EF0990BD5691FE309DEE504B12CDE523@Timestamp 0x2D 0x96 0xBA 0x7A ... Reg HKLM\SYSTEM\CurrentControlSet\Control\Lsa@LsaPid 708 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations \??\C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.old?? Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Executive@UuidSequenceNumber 3900001 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed 1301613241 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@BootId 24 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@BaseTime 395104980 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@POSTTime 5507 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@FwPOSTTime 5102 Reg HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@InstanceID a60bb14f-83eb-4e81-9dea-8d6113a Reg HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\WdiContextLog@FileCounter 3 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk@Type 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk@ErrorControl 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk@Tag 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk@ImagePath \??\C:\Windows\system32\drivers\aswFsBlk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk@DisplayName aswFsBlk Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk@Group FSFilter Activity Monitor Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk@DependOnService FltMgr? Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk@Description Avast! Mini-filter Driver Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk\Instances Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk\Instances@DefaultInstance aswFsBlk Instance Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk\Instances\aswFsBlk Instance Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk\Instances\aswFsBlk Instance@Altitude 388400 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk\Instances\aswFsBlk Instance@Flags 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswFsBlk Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt@Type 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt@ErrorControl 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt@ImagePath \??\C:\Windows\system32\drivers\aswMonFlt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt@DisplayName aswMonFlt Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt@Group FSFilter Anti-Virus Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt@DependOnService FltMgr? Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt@Description avast! mini-filter driver (aswMonFlt) Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt\Instances Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt\Instances@DefaultInstance aswMonFlt Instance Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt\Instances\aswMonFlt Instance Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt\Instances\aswMonFlt Instance@Altitude 320700 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt\Instances\aswMonFlt Instance@Flags 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr@Type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr@Start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr@ErrorControl 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr@ImagePath \??\C:\Windows\system32\drivers\aswRdr2.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr@DisplayName aswRdr Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr@Group PNP_TDI Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr@DependOnService tcpip? Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr@Description avast! WFP Redirect driver Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@MSIgnoreLSPDefault Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@WSIgnoreLSPDefault nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt@Type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt@Start 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt@ErrorControl 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt@DisplayName avast! Revert Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters@SystemRoot \Device\HarddiskVolume2\Windows Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters@BootCounter 18 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters@TickCounter 182833 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters\1382447432 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters\1382447432@ Commited Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters\1382447432@BootTimeout 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters\1382447432@TickTimeout 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters\1382447432@CreationTime 0xDC 0x68 0xF1 0x16 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters\1382447432@SetupOperations MoveFile("\??\c:\program files\avast\ashwebsv.dll.1382447432","\??\c:\program files\avast\ashwebsv.dll",TRUE)?MoveFile("\??\c:\program files\avast\ashwebsv.dll.sum.1382447432","\??\c:\program files\avast\ashwebsv.dll.sum",TRUE)?MoveFile("\??\c:\program files\avast\avastui.exe.1382447432","\??\c:\program files\avast\avastui.exe",TRUE)?MoveFile("\??\c:\program files\avast\avastui.exe.sum.1382447432","\??\c:\program files\avast\avastui.exe.sum",TRUE)? Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters\1382447432@StartBootCounter 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt\Parameters\1382447432@StartTickCounter 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRvrt Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx@Type 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx@Start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx@ErrorControl 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx@ImagePath \??\C:\Windows\system32\drivers\aswSnx.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx@DisplayName aswSnx Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx@Group FSFilter Virtualization Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx@DependOnService FltMgr? Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx@Description avast! virtualization driver (aswSnx) Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx\Instances Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx\Instances@DefaultInstance aswSnx Instance Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx\Instances\aswSnx Instance Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx\Instances\aswSnx Instance@Altitude 137600 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx\Instances\aswSnx Instance@Flags 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx\Parameters@ProgramFolder \??\C:\Program Files\Avast Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx\Parameters@DataFolder \??\C:\ProgramData\AVAST Software\Avast Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSnx Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP@Type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP@Start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP@ErrorControl 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP@ImagePath \??\C:\Windows\system32\drivers\aswSP.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP@DisplayName aswSP Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP@Description avast! Self Protection Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP\Parameters@BehavShield 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP\Parameters@ProgramFolder \??\C:\Program Files\Avast Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP\Parameters@DataFolder \??\C:\ProgramData\AVAST Software\Avast Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP\Parameters@ProgramFilesFolder \??\C:\Program Files Reg HKLM\SYSTEM\CurrentControlSet\Services\aswSP Reg HKLM\SYSTEM\CurrentControlSet\Services\aswVmm@Type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswVmm@Start 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswVmm@ErrorControl 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\aswVmm@DisplayName avast! VM Monitor Reg HKLM\SYSTEM\CurrentControlSet\Services\aswVmm@Description avast! VM Monitor Reg HKLM\SYSTEM\CurrentControlSet\Services\aswVmm\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\aswVmm Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@Type 288 Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@ErrorControl 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@ImagePath "C:\Program Files\Avast\AvastSvc.exe" Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@DisplayName avast! Antivirus Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@Group ShellSvcGroup Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@DependOnService aswMonFlt?RpcSS? Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@WOW64 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@ServiceSidType 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus@Description Verwaltet und implementiert die avast! Antivirus Dienste auf diesem Computer. Dies beinhaltet den Echtzeit-Schutz, den Virus Container sowie die Zeitplan. Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus Reg HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\Probe\{45a9a108-73e2-4f73-8ce2-b9e9442c3928}@LastProbeTime 1382898309 Reg HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState\7c-4f-b5-01-ec-12@AddressCreationTimestamp 0x1F 0x8D 0x7D 0x08 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState\7c-4f-b5-01-ec-12@TeredoAddress 2001:0:9d38:6ab8:b5:2845:b002:7a89 Reg HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Parameters@LastBootPlanUserTime ?So?, ?Okt ?27 ?13, 06:26:31??????9???????9???????????????9???? Reg HKLM\SYSTEM\CurrentControlSet\Services\SDScannerService@ServiceWebPortFileScannerActive 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\SDScannerService@ServiceWebPortFirewallActive 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\SDUpdateService@ServiceWebPortActive 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch 913 Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch 80 Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@Microsoft-Windows-HomeGroup-ProvSvc-TCP3587-In v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|LPort=3587|RA4=LocalSubnet|RA6=LocalSubnet|App=%systemroot%\system32\svchost.exe|Svc=p2psvc|Name=@%systemroot%\system32\provsvc.dll,-200|Desc=@%systemroot%\system32\provsvc.dll,-201|EmbedCtxt=@%systemroot%\system32\provsvc.dll,-202| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@Microsoft-Windows-HomeGroup-ProvSvc-TCP3587-Out v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|RPort=3587|RA4=LocalSubnet|RA6=LocalSubnet|App=%systemroot%\system32\svchost.exe|Svc=p2psvc|Name=@%systemroot%\system32\provsvc.dll,-203|Desc=@%systemroot%\system32\provsvc.dll,-204|EmbedCtxt=@%systemroot%\system32\provsvc.dll,-202| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@Microsoft-Windows-HomeGroup-ProvSvc-UDP3540-In v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|LPort=3540|RA4=LocalSubnet|RA6=LocalSubnet|App=%systemroot%\system32\svchost.exe|Svc=pnrpsvc|Name=@%systemroot%\system32\provsvc.dll,-205|Desc=@%systemroot%\system32\provsvc.dll,-206|EmbedCtxt=@%systemroot%\system32\provsvc.dll,-202| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@Microsoft-Windows-HomeGroup-ProvSvc-UDP3540-Out v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|RPort=3540|RA4=LocalSubnet|RA6=LocalSubnet|App=%systemroot%\system32\svchost.exe|Svc=pnrpsvc|Name=@%systemroot%\system32\provsvc.dll,-207|Desc=@%systemroot%\system32\provsvc.dll,-208|EmbedCtxt=@%systemroot%\system32\provsvc.dll,-202| Reg HKLM\SYSTEM\CurrentControlSet\Services\srvnet\Parameters@MajorSequence 22 Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{78558A3B-E6C3-437F-9FEF-5CB06B197674}@LeaseObtainedTime 1382894709 Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{78558A3B-E6C3-437F-9FEF-5CB06B197674}@T1 1383801909 Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{78558A3B-E6C3-437F-9FEF-5CB06B197674}@T2 1384482309 Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{78558A3B-E6C3-437F-9FEF-5CB06B197674}@LeaseTerminatesTime 1384709109 Reg HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters@ServiceDllUnloadOnStop 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer@GlobalAssocChangedCounter 27 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shutdown@CleanShutdown 1 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012013102720131028 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012013102720131028@CachePrefix :2013102720131028: Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012013102720131028@CachePath %USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012013102720131028 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012013102720131028@CacheOptions 11 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012013102720131028@CacheRepair 0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012013102720131028@CacheLimit 1 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@PolicyDocumentLastRefresh 0xEB 0x11 0xBC 0x98 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastWindowsBandwidthBucketDrainTime 0x85 0xF9 0x43 0x99 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastWindowsRequestBucketDrainTime 0xEB 0x9C 0x97 0xFE ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastWindowsLargeBandwidthBucketDrainTime 0x3B 0x6E 0x91 0xC4 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastWindowsLargeRequestBucketDrainTime 0xEB 0x9C 0x97 0xFE ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastOtherBandwidthBucketDrainTime 0x85 0xF9 0x43 0x99 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastOtherRequestBucketDrainTime 0xEB 0x9C 0x97 0xFE ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastGlobalRequestBucketDrainTime 0xEB 0x9C 0x97 0xFE ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@RoamingSyncToken LM%3d63518127161420%3bID%3d2873DADDC9BEF5FF!104%3bLR%3d63518492151217%3bEP%3d4%3bTD%3dTrue Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\RegistrarData@LastRenewCollectionsInterest 0xE0 0xAE 0x80 0xB1 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\RegistrarData@LastDownloadCollectionInterest 0x0F 0x60 0xB8 0x4A ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\SettingSync\SyncData@PendingOperations 6 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Store@LastTileRefresh 0x8C 0x1B 0x25 0xE8 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Store\RefreshBannedAppList@BannedAppsLastModified 0x80 0x6E 0x7D 0xA1 ... ---- EOF - GMER 2.1 ---- Könnt ihr mir helfen? Findet ihr etwas? Vielen Dank im Voraus. Geändert von hotte83 (28.10.2013 um 16:11 Uhr) |
Themen zu Befall von Maleware nach Download (u.a. Serach.New.Tab). GMER meldet Rootkit |
.dll, administrator, autostart, browser, desktop, dllhost.exe, download, explorer, google, maleware, malwarebytes, memory management, nach download, neue, pup.optional.installrex, pup.optional.multiplug, pup.optional.multiplug.a, pup.optional.searchnewtab, pup.optional.tarma.a, refresh, sekunden, software, stick, teredo, win32k.sys, windows |