| |
| |||||||
Log-Analyse und Auswertung: Falsche Links bei googleWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
09.09.2008, 20:19
| #16 |
 |  Falsche Links bei google So jetzt hab jetzt bis auf den rootkitrevealer (hab ihn ausgeführt, hat auch n paar sachen gefunden,konnte log aber aus unerfindlichen gründen nicht speichern, ich probiere es morgen nocheinmal) alle logfiles zusammen. MalwareBytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1131
Windows 5.1.2600 Service Pack 2
09.09.2008 19:32:24
mbam-log-2008-09-09 (19-32-17).txt
Scan-Methode: Vollständiger Scan (C:\|K:\|)
Durchsuchte Objekte: 255921
Laufzeit: 1 hour(s), 32 minute(s), 37 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10
Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> No action taken.
HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:42:50, on 09.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PhnxCDSvr.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Virtual CD v8\System\VC8SecS.exe C:\WINDOWS\system32\DRIVERS\WtSrv.exe C:\WINDOWS\system32\VTTimer.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\WService.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WService] WService.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" acrdb7_0_9 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: StarOffice 7.lnk = C:\Program Files\StarOffice7\program\quickstart.exe (User 'SYSTEM') O4 - .DEFAULT Startup: StarOffice 7.lnk = C:\Program Files\StarOffice7\program\quickstart.exe (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~2\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Show domain links - C:\PROGRA~2\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.yakumo.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106423904781 O20 - AppInit_DLLs: O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Phoenix VCD Service (PhnxVCDService) - Phoenix Technologies Ltd. - C:\WINDOWS\system32\PhnxCDSvr.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing) O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe -- End of file - 7550 bytes |
|
09.09.2008, 20:22
| #17 |
| | Falsche Links bei google Gmer:
__________________Code:
ATTFilter GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-09 20:04:29
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT sptd.sys ZwCreateKey [0xF743B0B0]
SSDT F7BB60CC ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xF743FD1C]
SSDT sptd.sys ZwEnumerateValueKey [0xF74400BC]
SSDT sptd.sys ZwOpenKey [0xF743B090]
SSDT F7BB60B8 ZwOpenProcess
SSDT F7BB60BD ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF7440194]
SSDT sptd.sys ZwQueryValueKey [0xF7440014]
SSDT sptd.sys ZwSetValueKey [0xF7440226]
SSDT F7BB60C7 ZwTerminateProcess
SSDT F7BB60C2 ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.14 ----
? greorfz.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F6A9C62C 5 Bytes JMP 86E5A1B8
? System32\Drivers\aroko1zt.SYS Das System kann die angegebene Datei nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.14 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F743BAB6] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F743BBEE] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F743BB76] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F743C71C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F743C5F2] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74607AE] sptd.sys
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F79384A6] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F7938166] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F79381AE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F7938484] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F7938456] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F7938456] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F79384A6] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F79381AE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F7938166] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F7938484] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest] [F79384A6] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F7938484] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F7938456] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F79381AE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F7938166] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F7938456] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F7938166] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F79384A6] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F79381AE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F7938484] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F7938166] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F79384A6] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F79381AE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F7938456] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F7938484] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F7938456] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F79381AE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F7938166] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F79384A6] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F7938456] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F7938484] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F79384A6] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F7938166] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F79381AE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
Geändert von 2xSchmux (09.09.2008 um 20:31 Uhr) |
|
09.09.2008, 20:24
| #18 |
| | Falsche Links bei googleCode:
ATTFilter ---- Devices - GMER 1.0.14 ----
Device \FileSystem\Ntfs \Ntfs 86FD01D8
Device \Driver\usbuhci \Device\USBPDO-0 86E521D8
Device \Driver\usbuhci \Device\USBPDO-1 86E521D8
Device \Driver\usbuhci \Device\USBPDO-2 86E521D8
Device \Driver\usbuhci \Device\USBPDO-3 86E521D8
Device \Driver\usbehci \Device\USBPDO-4 86DC2990
Device \Driver\00000047 \Device\00000056 sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 86F6C1D8
Device \Driver\NetBT \Device\NetBT_Tcpip_{7F876786-F097-4665-8446-4B4ECE62EE19} 86978580
Device \Driver\Cdrom \Device\CdRom0 86E77990
Device \Driver\Cdrom \Device\CdRom1 86E77990
Device \Driver\atapi \Device\Ide\IdePort0 86FD11D8
Device \Driver\atapi \Device\Ide\IdePort0 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 86FD11D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 86FD11D8
Device \Driver\atapi \Device\Ide\IdePort1 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 86FD11D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 86FD11D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Cdrom \Device\CdRom2 86E77990
Device \Driver\Cdrom \Device\CdRom3 86E77990
Device \Driver\Cdrom \Device\CdRom4 86E77990
Device \Driver\Cdrom \Device\CdRom5 86E77990
Device \Driver\NetBT \Device\NetBt_Wins_Export 86978580
Device \Driver\NetBT \Device\NetbiosSmb 86978580
Device \Driver\usbuhci \Device\USBFDO-0 86E521D8
Device \Driver\usbuhci \Device\USBFDO-1 86E521D8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86964580
Device \Driver\usbuhci \Device\USBFDO-2 86E521D8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86964580
Device \Driver\usbuhci \Device\USBFDO-3 86E521D8
Device \Driver\usbehci \Device\USBFDO-4 86DC2990
Device \Driver\Ftdisk \Device\FtControl 86F6C1D8
Device \Driver\aroko1zt \Device\Scsi\aroko1zt1 86DAE990
Device \Driver\aroko1zt \Device\Scsi\aroko1zt1 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\aroko1zt \Device\Scsi\aroko1zt1Port3Path0Target2Lun0 86DAE990
Device \Driver\aroko1zt \Device\Scsi\aroko1zt1Port3Path0Target2Lun0 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\vdrv8000 \Device\Scsi\vdrv80001Port2Path0Target0Lun0 86D91760
Device \Driver\vdrv8000 \Device\Scsi\vdrv80001Port2Path0Target0Lun0 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\vdrv8000 \Device\Scsi\vdrv80001 86D91760
Device \Driver\vdrv8000 \Device\Scsi\vdrv80001 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\aroko1zt \Device\Scsi\aroko1zt1Port3Path0Target1Lun0 86DAE990
Device \Driver\aroko1zt \Device\Scsi\aroko1zt1Port3Path0Target1Lun0 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\vdrv8000 \Device\Scsi\vdrv80001Port2Path0Target1Lun0 86D91760
Device \Driver\vdrv8000 \Device\Scsi\vdrv80001Port2Path0Target1Lun0 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\aroko1zt \Device\Scsi\aroko1zt1Port3Path0Target0Lun0 86DAE990
Device \Driver\aroko1zt \Device\Scsi\aroko1zt1Port3Path0Target0Lun0 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Cdfs \Cdfs 86974990
|
|
09.09.2008, 20:27
| #19 |
| | Falsche Links bei googleCode:
ATTFilter ---- Services - GMER 1.0.14 ----
Service system32\drivers\TDSSserv.sys (*** hidden *** ) [SYSTEM] tdssserv <-- ROOTKIT !!!
Service C:\WINDOWS\system32\DRIVERS\vdrv8000.sys (*** hidden *** ) [SYSTEM] vdrv8000 <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB9 0xD4 0x8C 0x51 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x44 0x61 0x9F 0xBC ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC4 0x42 0x1E 0x5B ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xA8 0xE7 0xAD 0xA2 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x23 0x79 0x65 0xE5 ...
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000@ServiceBinary C:\WINDOWS\system32\drivers\VDRV7000.SYS
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000@Group SCSI Miniport
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000@ImagePath System32\Drivers\VDRV7000.SYS
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000@Start 1
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000@Type 1
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000@Tag 66
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000\Enum
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000\Enum@0 ROOT\SCSIADAPTER\0000
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000\Enum@Count 1
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000\Enum@NextInstance 1
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000\parameters
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000\parameters\pnpinterface
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\ControlSet001\Services\vdrv7000\security
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB9 0xD4 0x8C 0x51 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xAA 0x92 0x46 0x7A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x82 0xAA 0xF1 0x44 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xEE 0x60 0x11 0xDA ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x2C 0xE7 0x85 0x10 ...
Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000@ServiceBinary C:\WINDOWS\system32\drivers\VDRV8000.SYS
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000@Group SCSI Miniport
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000@ImagePath system32\DRIVERS\vdrv8000.sys
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000@Tag 68
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\Enum
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\Enum@Count 1
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\Enum@NextInstance 1
|
|
09.09.2008, 20:28
| #20 |
| | Falsche Links bei googleCode:
ATTFilter Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\Enum@INITSTARTFAILED 1
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\Enum@0 Root\SCSIADAPTER\0000
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\parameters
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\parameters\pnpinterface
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\security
Reg HKLM\SYSTEM\ControlSet002\Services\vdrv8000\security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 11174584
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -2005570429
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB9 0xD4 0x8C 0x51 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xAA 0x92 0x46 0x7A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x82 0xAA 0xF1 0x44 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xEE 0x60 0x11 0xDA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x2C 0xE7 0x85 0x10 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000@ServiceBinary C:\WINDOWS\system32\drivers\VDRV8000.SYS
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000@Group SCSI Miniport
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000@ImagePath system32\DRIVERS\vdrv8000.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000@Tag 68
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\Enum
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\Enum@Count 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\Enum@NextInstance 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\Enum@INITSTARTFAILED 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\Enum@0 Root\SCSIADAPTER\0000
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\parameters\pnpinterface
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\security
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv8000\security@Security 0x01 0x00 0x14 0x80 ...
---- EOF - GMER 1.0.14 ----
Code:
ATTFilter catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 20:12:16
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:b9,d4,8c,51,54,7b,ac,99,e0,b6,01,60,88,44,9c,06,9b,df,b0,d8,1d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,a8,50,2e,1e,c9,0b,6c,f0,20,16,37,06,4c,36,a2,f9,ae,..
"khjeh"=hex:44,61,9f,bc,ce,0f,9f,2e,5b,cf,79,44,10,d7,ca,0e,6c,fe,ba,cc,c2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c4,42,1e,5b,3a,1a,be,b5,e0,1e,2d,6b,96,e8,85,07,ee,f3,b1,f1,1f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:a8,e7,ad,a2,b9,83,a1,3f,0a,bd,7d,f0,71,f2,a0,d3,ad,50,35,59,9c,..
|
|
09.09.2008, 20:29
| #21 |
| | Falsche Links bei googleCode:
ATTFilter [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:23,79,65,e5,8f,d2,79,ae,14,eb,4a,14,6a,ae,b7,06,29,ef,36,60,f3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdrv7000]
"ServiceBinary"="C:\WINDOWS\system32\drivers\VDRV7000.SYS"
"Group"="SCSI Miniport"
"ImagePath"=str(2):"System32\Drivers\VDRV7000.SYS"
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Type"=dword:00000001
"Tag"=dword:00000042
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdrv7000\Enum]
"0"="ROOT\SCSIADAPTER\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdrv7000\parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdrv7000\security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:b9,d4,8c,51,54,7b,ac,99,e0,b6,01,60,88,44,9c,06,9b,df,b0,d8,1d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,a8,50,2e,1e,c9,0b,6c,f0,20,16,37,06,4c,36,a2,f9,ae,..
"khjeh"=hex:aa,92,46,7a,93,a7,4e,4b,b5,a8,07,f5,d8,64,da,b1,32,29,48,3c,32,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:82,aa,f1,44,09,03,6c,73,de,56,46,0e,f7,38,06,fc,35,c3,65,f6,e2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:ee,60,11,da,31,e3,4a,1b,38,61,09,d2,4c,72,a9,ba,0d,81,18,52,32,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:2c,e7,85,10,26,10,9b,7a,71,0d,f8,f5,17,9e,19,32,62,26,7a,56,d3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdrv8000]
"ServiceBinary"="C:\WINDOWS\system32\drivers\VDRV8000.SYS"
"Group"="SCSI Miniport"
"ImagePath"=str(2):"system32\DRIVERS\vdrv8000.sys"
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Type"=dword:00000001
"Tag"=dword:00000044
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdrv8000\Enum]
"Count"=dword:00000001
"NextInstance"=dword:00000001
"INITSTARTFAILED"=dword:00000001
"0"="Root\SCSIADAPTER\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdrv8000\parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdrv8000\security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:00aa82b8
"s2"=dword:88756c83
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:b9,d4,8c,51,54,7b,ac,99,e0,b6,01,60,88,44,9c,06,9b,df,b0,d8,1d,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,a8,50,2e,1e,c9,0b,6c,f0,20,16,37,06,4c,36,a2,f9,ae,..
"khjeh"=hex:aa,92,46,7a,93,a7,4e,4b,b5,a8,07,f5,d8,64,da,b1,32,29,48,3c,32,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:82,aa,f1,44,09,03,6c,73,de,56,46,0e,f7,38,06,fc,35,c3,65,f6,e2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:ee,60,11,da,31,e3,4a,1b,38,61,09,d2,4c,72,a9,ba,0d,81,18,52,32,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:2c,e7,85,10,26,10,9b,7a,71,0d,f8,f5,17,9e,19,32,62,26,7a,56,d3,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdrv8000]
"ServiceBinary"="C:\WINDOWS\system32\drivers\VDRV8000.SYS"
"Group"="SCSI Miniport"
"ImagePath"=str(2):"system32\DRIVERS\vdrv8000.sys"
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Type"=dword:00000001
"Tag"=dword:00000044
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdrv8000\Enum]
"Count"=dword:00000001
"NextInstance"=dword:00000001
"INITSTARTFAILED"=dword:00000001
"0"="Root\SCSIADAPTER\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdrv8000\parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdrv8000\security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
|
|
09.09.2008, 20:30
| #22 |
| /// TB-Ausbilder     | Falsche Links bei google Hi, ok, es ist offensichtlich wo das Problem liegt. Führe bitte mal Combofix aus: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
09.09.2008, 21:26
| #23 |
| | Falsche Links bei google Und wie siehts aus? Code:
ATTFilter ComboFix 08-09-05.12 - *** 2008-09-09 22:14:00.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.628 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
/wow section - STAGE 40
grep: lockD: No such file or directory
grep: lockD: No such file or directory
((((((((((((((((((((((( Dateien erstellt von 2008-08-09 bis 2008-09-09 ))))))))))))))))))))))))))))))
.
2008-09-09 22:08 . 2008-09-09 22:08 <DIR> d-------- C:\Programme\CCleaner
2008-09-09 20:27 . 2008-09-09 20:27 0 --a------ C:\WINDOWS\system32\JJPB
2008-09-09 19:37 . 2008-09-09 19:37 <DIR> d-------- C:\Programme\RootkitRevealer
2008-09-09 19:36 . 2008-09-09 19:43 250 --a------ C:\WINDOWS\gmer.ini
2008-08-31 13:51 . 2008-08-31 13:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
2008-08-31 01:33 . 2008-09-09 19:32 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-31 01:33 . 2008-08-31 01:33 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-08-31 01:33 . 2008-08-31 01:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-31 01:33 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-31 01:33 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-31 00:26 . 2008-08-31 00:26 <DIR> d-------- C:\Programme\Trend Micro
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 19:47 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-09-09 17:32 --------- d-----w C:\Programme\ICQToolbar
2008-09-08 15:03 138,176 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-09-08 15:03 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-09-04 00:48 --------- d-----w C:\Programme\No23 Recorder
2008-08-31 12:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-08-31 11:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-28 11:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-17 10:26 --------- d-----w C:\Programme\Java
2008-07-11 18:23 --------- d-----w C:\Programme\Pontifex II
2008-07-11 09:41 --------- d-----w C:\Programme\Apple Software Update
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 08:14 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:51 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:36 147,968 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2006-10-12 18:03 786 ----a-w C:\Programme\INSTALL.LOG
2007-12-27 20:03 56 --sh--r C:\WINDOWS\system32\71BB05619D.sys
2007-12-27 20:03 3,350 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-15 185896]
"PSDrvCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-08-28 396800]
"VTTimer"="VTTimer.exe" [2005-03-08 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 C:\WINDOWS\system32\VTTrayp.exe]
"WService"="WService.EXE" [2005-11-23 C:\WINDOWS\system32\WService.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
C:\WINDOWS\system32\config\systemprofile\Startmen\Programme\Autostart\
StarOffice 7.lnk - C:\Program Files\StarOffice7\program\quickstart.exe [2003-11-01 122880]
C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\
StarOffice 7.lnk - C:\Program Files\StarOffice7\program\quickstart.exe [2003-11-01 122880]
C:\Dokumente und Einstellungen\Gast\Startmen\Programme\Autostart\
StarOffice 7.lnk - C:\Program Files\StarOffice7\program\quickstart.exe [2003-11-01 122880]
C:\WINDOWS\system32\config\systemprofile\Startmen\Programme\Autostart\
StarOffice 7.lnk - C:\Program Files\StarOffice7\program\quickstart.exe [2003-11-01 122880]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-01-17 110592]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2004-07-27 17:50 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2005-06-10 11:44 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"New.net Startup"=rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Wolfenstein - Enemy Territory\\ET.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Soldat\\Soldat.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\3dsmax7\\3dsmax.exe"=
"C:\\Programme\\backburner 2\\monitor.exe"=
"C:\\Programme\\backburner 2\\manager.exe"=
"C:\\Programme\\backburner 2\\server.exe"=
"C:\\Programme\\iRaTe2\\irate2.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2881:UDP"= 2881:UDP:Windows Media Format SDK (ps_olect.exe)
"2921:UDP"= 2921:UDP:Windows Media Format SDK (ps_olect.exe)
R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-02-23 14256]
R0 ptpd;Disk Filter Driver;C:\WINDOWS\system32\drivers\ptpd.sys [2005-02-11 7680]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 35328]
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2003-12-19 6656]
R1 vdrv8000;vdrv8000;C:\WINDOWS\system32\DRIVERS\vdrv8000.sys [2006-06-20 100352]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-03-03 99840]
R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-04-07 110304]
R2 Machnm32;Machnm32 Driver;C:\WINDOWS\system32\Machnm32.sys [2003-08-13 2304]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-02-23 15568]
R3 PhnxVcd;PhnxVcd;C:\WINDOWS\system32\Drivers\PhnxVcd.sys [2005-07-21 44544]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [ ]
S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys [ ]
S3 ERDJL;ERDJL;C:\DOKUME~1\***\LOKALE~1\Temp\ERDJL.exe [ ]
S3 HHCDHelp.sys;HHCDHelp.sys;C:\WINDOWS\system32\drivers\HHCDHelp.sys [2006-04-25 11520]
S3 PciCon;PciCon;D:\PciCon.sys [ ]
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2005-01-18 65536]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-14 307968]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2c6f7d00-6ba9-11da-bc7d-806d6172696f}]
\Shell\AutoRun\command - D:\Autorun.exe "/OEMDocs/start_PG/styles/run_tmp.bat"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38c900a1-13a0-11dd-bdd5-0013d3e719db}]
\Shell\AutoRun\command - B:\Autorun.exe
*Newly Created Service* - CATCHME
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2B7F010B-F32F-F75C-E86A-55DF6A9761C6}]
C:\Programme\winrfl\svchostini.exe s
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4y9mnh6n.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 22:15:50
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\vdrv8000]
"ImagePath"="system32\DRIVERS\vdrv8000.sys"
.
Zeit der Fertigstellung: 2008-09-09 22:18:34
ComboFix-quarantined-files.txt 2008-09-09 20:17:47
Pre-Run: 21 Verzeichnis(se), 35,215,302,656 Bytes frei
Post-Run: 23 Verzeichnis(se), 35,197,804,544 Bytes frei
189 --- E O F --- 2008-08-25 10:30:06
|
|
09.09.2008, 22:03
| #24 |
| /// TB-Ausbilder | Falsche Links bei google Hi das sieht gar nicht so schlecht aus. Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\JJPB
C:\Programme\winrfl\svchostini.exe
Folder to delete:
C:\PROGRAMME\NEWDOTNET
Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-|"New.net Startup"
lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
09.09.2008, 22:11
| #25 |
| | Falsche Links bei googleCode:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\JJPB" deleted successfully.
Error: file "C:\Programme\winrfl\svchostini.exe" not found!
Deletion of file "C:\Programme\winrfl\svchostini.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "Folder to delete:" not found!
Deletion of file "Folder to delete:" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\PROGRAMME\NEWDOTNET" not found!
Deletion of file "C:\PROGRAMME\NEWDOTNET" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-|"New.net Startup""
Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-|"New.net Startup"" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
|
|
09.09.2008, 22:48
| #26 |
| /// TB-Ausbilder | Falsche Links bei google Hi, starte deinen Rechner bitte neu. Beende alle Programme (auch virtual Cd und Co) und erstell ein weiteres log mit gmer. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
11.09.2008, 20:58
| #28 |
| /// TB-Ausbilder | Falsche Links bei google Hi, das Log ist soweit sauber.  Wie gehts dem Rechner? lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
12.09.2008, 21:47
| #29 |
| | Falsche Links bei google Der Rechner hat sich wieder beruhigt....ich hoffe das bleibt ne weile so! Wenns wieder Probleme gibt poste ich nochmal! Herzlichen dank nochmal myrtille! |
|
12.09.2008, 23:54
| #30 |
| /// TB-Ausbilder | Falsche Links bei google Heya, immer langsam mit den Pferden.  Die gesamte Malware ist noch in Backupfoldern auf deinen Rechner vorhanden. Das würd ich gern noch ändern. Deinstalliere bitte Combofix in dem du unter Start->Ausführen-> "%userprofile%\Desktop\Combofix.exe" /u eingibst. Lösche bitte die restlichen Programme (bis auf HijackThis und Malwarebytes) per Hand, sowie den Ordner C:\avenger. Erstelle bitte noch ein Logfile mit HijackThis und mit Malwarebytes und poste beide hier. Ich würde dir empfehlen Malwarebytes zu behalten und gelegentlich deinen Rechner damit zu scannen. Wenn du es nicht behalten willst, kannst du es, genau wie Hijackthis über Start->Systemsteuerung->Software deinstallieren. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
| Themen zu Falsche Links bei google |
| adobe, antivirus, avira, bho, down, drivers, ebay, explorer, frage, google, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, nvidia, rundll, seiten, software, symantec, system, tablet, trojaner, tuneup.defrag, urlsearchhook, viele viren, viren, windows, windows xp, windows\system32\drivers |
