| |
| |||||||
Log-Analyse und Auswertung: Trojaner - Google leitet umWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
13.07.2009, 12:07
| #1 |
| |  Trojaner - Google leitet um Hallo zusammen, habe mir einen Trojaner gefangen, der seither alle links auf google umleitet. Freitag hat Antivir zwei Meldungen gebracht (DR/Agent.emb und TR/VB.phe). Diese liesen sich entfernen und werden seither auch nicht mehr gefunden. Das Problem allerdings bleibt. Ad-Aware findet einen win32.trojan.tdss. Dieser lässt sich auch im abgesicherten Modus nicht entfernen. Hier mal das HJT-log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:41:52, on 13.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Synaptics\SynTP\SynTPStart.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\BisonCam\BisonHK.exe C:\Programme\Hotkey\HotKeyDriver.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Dokumente und Einstellungen\****\****.exe C:\WINDOWS\system32\sistray.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [BisonHK] C:\WINDOWS\BisonCam\BisonHK.exe O4 - HKLM\..\Run: [Hotkey Software] "C:\Programme\Hotkey\HotKeyDriver.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\uvPL.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [****] C:\Dokumente und Einstellungen\****\****.exe O4 - HKCU\..\Run: [\\Future_buero\EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\DOKUME~1\HARALD~1.MAA\LOKALE~1\Temp\E_SF.tmp" /EF "HKCU" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246712763653 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 5924 bytes Code:
ATTFilter Logfile created: 13.07.2009 12:40:21
Lavasoft Ad-Aware version: 8.0.7
Extended engine version: 8.1
User performing scan: Harald.Maas
*********************** Definitions database information ***********************
Lavasoft definition file: 149.3
Extended engine definition file: 8.1
******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 2250
Objects detected: 1
Type Detected
==========================
Processes.......: 1
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0
Quarantined items:
Description: \\?\globalroot\systemroot\system32\uacxvhakpkxfncnsutwp.dll Family Name: Win32.Trojan.Tdss Clean status: Reboot required Item ID: 942777 Family ID: 5401
Scan and cleaning complete: Stopped by request after 3 seconds
*********************************** Settings ***********************************
Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
ID: scancriticalareas, enabled:1, value: true
ID: scanrunningapps, enabled:1, value: true
ID: scanregistry, enabled:1, value: true
ID: scanlsp, enabled:1, value: true
ID: scanads, enabled:1, value: false
ID: scanhostsfile, enabled:1, value: false
ID: scanmru, enabled:1, value: false
ID: scanbrowserhijacks, enabled:1, value: true
ID: scantrackingcookies, enabled:1, value: true
ID: closebrowsers, enabled:1, value: false
ID: folderstoscan, enabled:1, value:
ID: usespywareheuristics, enabled:1, value: true
ID: extendedengine, enabled:0, value: true
ID: useheuristics, enabled:0, value: true
ID: heuristicslevel, enabled:0, value: mild, domain: medium,mild,strict
ID: filescanningoptions, enabled:1
ID: scanrootkits, enabled:1, value: true
ID: archives, enabled:1, value: false
ID: onlyexecutables, enabled:1, value: true
ID: skiplargerthan, enabled:1, value: 20480
Scan global:
ID: global, enabled:1
ID: addtocontextmenu, enabled:1, value: true
ID: playsoundoninfection, enabled:1, value: false
ID: soundfile, enabled:0, value: *to be filled in automatically*\alert.wav
Scheduled scan settings:
<Empty>
Update settings:
ID: updates, enabled:1
ID: launchthreatworksafterscan, enabled:1, value: normal, domain: normal,off,silently
ID: softwareupdates, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: schedules, enabled:1, value: true
ID: updatedaily, enabled:1, value: Daily
ID: time, enabled:1, value: Mon Jul 13 12:11:00 2009
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updateweekly, enabled:1, value: Weekly
ID: time, enabled:1, value: Mon Jul 13 12:11:00 2009
ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: true
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
Appearance settings:
ID: appearance, enabled:1
ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
ID: showtrayicon, enabled:1, value: true
ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language
Realtime protection settings:
ID: realtime, enabled:1
ID: processprotection, enabled:1, value: true
ID: registryprotection, enabled:0, value: true
ID: networkprotection, enabled:0, value: true
ID: usespywareheuristics, enabled:0, value: true
ID: extendedengine, enabled:0, value: true
ID: useheuristics, enabled:0, value: true
ID: heuristicslevel, enabled:0, value: strict, domain: medium,mild,strict
ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
****************************** System information ******************************
Computer name: FUTURE_NOTEBOOK
Processor name: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
Processor identifier: x86 Family 6 Model 23 Stepping 10
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 5898, number of processors 2
Physical memory available: 2408308736 bytes
Physical memory total: 3083964416 bytes
Virtual memory available: 2027069440 bytes
Virtual memory total: 2147352576 bytes
Memory load: 21%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:
Running processes:
PID: 792 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 848 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 872 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 920 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 932 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1120 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1196 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1240 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1356 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1396 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1640 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1736 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1808 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1868 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 576 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 612 name: C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 820 name: C:\WINDOWS\system32\IoctlSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1292 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1440 name: C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1548 name: C:\WINDOWS\system32\SearchIndexer.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 392 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 608 name: C:\Programme\Synaptics\SynTP\SynTPStart.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 1792 name: C:\WINDOWS\RTHDCPL.EXE owner: **** domain: FUTURE_NOTEBOOK
PID: 696 name: C:\WINDOWS\BisonCam\BisonHK.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 704 name: C:\Programme\Hotkey\HotKeyDriver.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 712 name: C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 988 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: Harald.Maas domain: FUTURE_NOTEBOOK
PID: 1316 name: C:\WINDOWS\system32\ctfmon.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 1344 name: C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe owner: Harald.Maas domain: FUTURE_NOTEBOOK
PID: 1436 name: C:\Dokumente und Einstellungen\****\****.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 1956 name: C:\WINDOWS\system32\sistray.exe owner: Harald.Maas domain: FUTURE_NOTEBOOK
PID: 2228 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2300 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2316 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2368 name: C:\Programme\Synaptics\SynTP\SynTPEnh.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 2752 name: C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2860 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 3204 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 3400 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3632 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: **** domain: FUTURE_NOTEBOOK
PID: 1152 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 412 name: C:\WINDOWS\system32\SearchProtocolHost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 184 name: C:\WINDOWS\system32\SearchFilterHost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 480 name: C:\WINDOWS\explorer.exe owner: Harald.Maas domain: FUTURE_NOTEBOOK
PID: 452 name: C:\WINDOWS\system32\imapi.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2260 name: C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: **** domain: FUTURE_NOTEBOOK
Startup items:
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: WPDShServiceObj
imagepath: {AAA288BA-9A4C-45B0-95D7-94D524869DB5}
Name: CTFMON.EXE
imagepath: C:\WINDOWS\system32\CTFMON.EXE
Name: SiSPower
imagepath: Rundll32.exe SiSPower.dll,ModeAgent
Name: SynTPStart
imagepath: C:\Programme\Synaptics\SynTP\SynTPStart.exe
Name: RTHDCPL
imagepath: RTHDCPL.EXE
Name: Alcmtr
imagepath: ALCMTR.EXE
Name: BisonHK
imagepath: C:\WINDOWS\BisonCam\BisonHK.exe
Name: Hotkey Software
imagepath: "C:\Programme\Hotkey\HotKeyDriver.exe"
Name: Adobe Reader Speed Launcher
imagepath: "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Name: NeroFilterCheck
imagepath: C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
Name: NBKeyScan
imagepath: "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
Name: UVS11 Preload
imagepath: C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\uvPL.exe
Name: QuickTime Task
imagepath: "C:\Programme\QuickTime\qttask.exe" -atboottime
Name: avgnt
imagepath: "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Utility Tray.lnk
imagepath: C:\WINDOWS\system32\sistray.exe
Name:
imagepath: C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete
Running services:
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: AudioSrv
displayname: Windows Audio
Name: Browser
displayname: Computerbrowser
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: dmserver
displayname: Verwaltung logischer Datenträger
Name: Dnscache
displayname: DNS-Client
Name: ERSvc
displayname: Fehlerberichterstattungsdienst
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: helpsvc
displayname: Hilfe und Support
Name: HTTPFilter
displayname: HTTP-SSL
Name: LanmanServer
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Nero BackItUp Scheduler 3
displayname: Nero BackItUp Scheduler 3
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: NMIndexingService
displayname: NMIndexingService
Name: PLFlash DeviceIoControl Service
displayname: PLFlash DeviceIoControl Service
Name: PlugPlay
displayname: Plug & Play
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RemoteRegistry
displayname: Remote-Registrierung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UleadBurningHelper
displayname: Ulead Burning Helper
Name: W32Time
displayname: Windows-Zeitgeber
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: WSearch
displayname: Windows Search
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung
Viele Grüße und vielen Dank Harald |
|
13.07.2009, 19:16
| #2 |
| /// Helfer-Team    | Trojaner - Google leitet um Hallo Harri_m
__________________ Ich befürchte, dass sich bei Dir ein Rootkit/wikipedia.org eingenistet hat  - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte- und Systemdateien sichtbar machen:: - Klicke unter Start auf Arbeitsplatz. - Klicke im Menü Extras auf Ordneroptionen. - Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen - Geschützte und Systemdateien ausblenden --> Haken entfernen - Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. - Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) - lade Dir das filelist.zip auf deinen Desktop herunter - entpacke die Zip-Datei auf deinen Desktop - starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen - kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)-> starten-> unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)-> weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! am besten nutze den Code-Tags für deinen Post: vor dein log schreibst du:[code] hier kommt dein logfile rein dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
14.07.2009, 11:12
| #3 |
| | Trojaner - Google leitet um Hallo Cowerflow,
__________________vielen vielen Dank schonmal für Deine Hilfe :-) Hier die logs in der Reihenfolge Deiner Anweisungen. filelist: Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 101B-FEBC
Verzeichnis von C:\
14.07.2009 10:44 43 filelist.txt
14.07.2009 10:38 3.084.038.144 hiberfil.sys
14.07.2009 10:38 2.145.386.496 pagefile.sys
14.07.2009 10:38 2.606 aaw7boot.log
04.07.2009 15:00 211 boot.ini
15.06.2009 17:07 518 RHDSetup.log
15.06.2009 16:36 0 AUTOEXEC.BAT
15.06.2009 16:36 0 IO.SYS
15.06.2009 16:36 0 MSDOS.SYS
15.06.2009 16:36 0 CONFIG.SYS
13 Datei(en) 5.229.732.246 Bytes
0 Verzeichnis(se), 302.150.639.616 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 101B-FEBC
Verzeichnis von C:\WINDOWS
14.07.2009 10:41 604.505 WindowsUpdate.log
14.07.2009 10:39 159 wiadebug.log
14.07.2009 10:39 0 0.log
14.07.2009 10:39 50 wiaservc.log
14.07.2009 10:38 2.048 bootstat.dat
13.07.2009 13:11 6.758 SchedLgU.Txt
13.07.2009 12:36 381.666 ntbtlog.txt
13.07.2009 12:11 396.689 setupapi.log
09.07.2009 14:01 219.863 setupact.log
08.07.2009 11:53 345 nsw.log
07.07.2009 12:45 0 nsreg.dat
04.07.2009 16:08 314.804 msxml4-KB954430-enu.LOG
04.07.2009 16:07 179.106 tsoc.log
04.07.2009 16:07 136.421 comsetup.log
04.07.2009 16:07 21.063 ocmsn.log
04.07.2009 16:07 441.655 iis6.log
04.07.2009 16:07 19.643 tabletoc.log
04.07.2009 16:07 80.941 ntdtcsetup.log
04.07.2009 16:07 1.355 imsins.log
04.07.2009 16:07 4.759 KB954156.log
04.07.2009 16:07 66.687 netfxocm.log
04.07.2009 16:07 26.573 MedCtrOC.log
04.07.2009 16:07 189.176 ocgen.log
04.07.2009 16:07 19.102 msgsocm.log
04.07.2009 16:07 376.383 FaxSetup.log
04.07.2009 16:07 121.052 msmqinst.log
04.07.2009 16:04 56.954 wmsetup.log
04.07.2009 16:00 76.578 DirectX.log
04.07.2009 15:58 13.577 spupdsvc.log
04.07.2009 15:49 1.355 imsins.BAK
04.07.2009 15:49 6.072 KB959772.log
04.07.2009 15:49 23.551 KB952069.log
04.07.2009 15:49 5.629 KB954154.log
04.07.2009 15:49 6.207 KB929399.log
04.07.2009 15:49 14.708 KB936782.log
04.07.2009 15:49 5.935 KB939683.log
04.07.2009 15:49 17.221 KB941569.log
04.07.2009 15:43 4.938 MSCompPackV1.log
04.07.2009 15:43 15.907 wmp11.log
04.07.2009 15:43 2.342 wmsetup10.log
04.07.2009 15:43 837 win.ini
04.07.2009 15:42 26.034 WMFDist11.log
04.07.2009 15:42 7.060 Wudf01000Inst.log
04.07.2009 15:39 5.120 KB961118.log
04.07.2009 15:39 7.462 KB956803.log
04.07.2009 15:37 4.395 WgaNotify.log
04.07.2009 15:24 41.634 updspapi.log
04.07.2009 15:19 22.927 KB969897-IE8.log
04.07.2009 15:19 15.082 KB963093.log
04.07.2009 15:19 22.969 KB970238.log
04.07.2009 15:19 22.290 KB968537.log
04.07.2009 15:19 21.929 KB961501.log
04.07.2009 15:19 14.480 KB969898.log
04.07.2009 15:19 21.422 KB961373.log
04.07.2009 15:19 15.583 KB923561.log
04.07.2009 15:18 20.681 KB967715.log
04.07.2009 15:18 10.666 KB923723.log
04.07.2009 15:18 20.136 KB952954.log
04.07.2009 15:18 13.113 KB946648.log
04.07.2009 15:18 20.506 KB951748.log
04.07.2009 15:10 9.100 KB898461.log
04.07.2009 15:10 6.747 KB892130.log
04.07.2009 15:01 1.174 OEWABLog.txt
04.07.2009 15:00 855.820 setuplog.txt
04.07.2009 14:59 2.741 sessmgr.setup.log
04.07.2009 14:59 646 DtcInstall.log
04.07.2009 14:59 4.064 regopt.log
04.07.2009 14:58 231 system.ini
22.06.2009 07:21 61 smscfg.ini
22.06.2009 07:21 10 setuperr.log
22.06.2009 07:20 8.192 REGLOCS.OLD
15.06.2009 17:32 0 Sti_Trace.log
15.06.2009 17:17 30.958 ie8_main.log
15.06.2009 17:17 58.302 ie8.log
15.06.2009 17:10 8 SERI
15.06.2009 17:07 315.392 HideWin.exe
15.06.2009 17:06 1.450 COM+.log
15.06.2009 17:05 243 xUninstall.bat
15.06.2009 17:04 522 SynInst.log
15.06.2009 17:04 188 sisagp.log
15.06.2009 17:04 39.430 KB940157.log
15.06.2009 17:03 18.756 KB915800-v4.log
15.06.2009 17:03 4.702 wortmannupdatelog.txt
15.06.2009 17:03 21.514 KB952004.log
15.06.2009 17:03 20.714 KB956572.log
15.06.2009 17:02 14.479 KB959426.log
15.06.2009 17:02 13.404 KB960803.log
15.06.2009 17:02 13.895 KB963027.log
15.06.2009 17:02 10.646 KB958690.log
15.06.2009 17:01 10.441 KB960225.log
15.06.2009 17:01 11.385 KB951978.log
15.06.2009 17:01 10.123 KB958644.log
15.06.2009 17:01 9.771 KB957097.log
15.06.2009 17:00 9.289 KB954459.log
15.06.2009 17:00 9.317 KB955069.log
15.06.2009 17:00 9.537 KB956802.log
15.06.2009 17:00 19.412 KB955839.log
15.06.2009 17:00 8.804 KB954600.log
15.06.2009 17:00 9.209 KB958687.log
15.06.2009 16:59 8.662 KB960715.log
15.06.2009 16:59 6.997 KB938464.log
15.06.2009 16:59 8.719 KB956391.log
15.06.2009 16:59 8.936 KB952287.log
15.06.2009 16:59 8.894 KB951066.log
15.06.2009 16:59 9.201 KB950974.log
15.06.2009 16:59 8.310 KB953356.log
15.06.2009 16:58 8.493 KB951376-v2.log
15.06.2009 16:58 8.362 KB951698.log
15.06.2009 16:58 1.252 KB949269.log
15.06.2009 16:58 9.087 KB950762.log
15.06.2009 16:47 316.640 WMSysPr9.prx
15.06.2009 16:47 210.415 orun32.isu
15.06.2009 16:47 849 orun32.ini
15.06.2009 16:36 0 control.ini
15.06.2009 16:36 4.161 ODBCINST.INI
15.06.2009 16:35 749 WindowsShell.Manifest
15.06.2009 16:34 36 vb.ini
15.06.2009 16:34 37 vbaddin.ini
15.06.2009 16:33 200 cmsetacl.log
180 Datei(en) 50.516.676 Bytes
0 Verzeichnis(se), 302.150.606.848 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 101B-FEBC
Verzeichnis von C:\WINDOWS\system
30 Datei(en) 1.501.767 Bytes
0 Verzeichnis(se), 302.150.610.944 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 101B-FEBC
Verzeichnis von C:\WINDOWS\system32
14.07.2009 10:39 1.158 wpa.dbl
07.07.2009 12:17 290.088 FNTCACHE.DAT
04.07.2009 15:55 188 MsiExec.exe.log
04.07.2009 15:52 441.458 perfh009.dat
04.07.2009 15:52 484.220 perfh007.dat
04.07.2009 15:52 71.394 perfc009.dat
04.07.2009 15:52 94.528 perfc007.dat
04.07.2009 15:52 1.105.658 PerfStringBackup.INI
04.07.2009 15:43 23.392 nscompat.tlb
04.07.2009 15:43 16.832 amcompat.tlb
04.07.2009 15:00 336 $winnt$.inf
04.07.2009 14:59 4.444 pid.PNF
03.07.2009 16:49 15.688 lsdelete.exe
22.06.2009 07:21 333 $ncsp$.inf
15.06.2009 17:33 0 h323log.txt
15.06.2009 17:10 146.650 BuzzingBee.wav
15.06.2009 17:10 940.794 LoopyMusic.wav
15.06.2009 17:05 128.743 VGAunistlog.ini
15.06.2009 17:00 211.660 TZLog.log
15.06.2009 16:36 2.951 CONFIG.NT
15.06.2009 16:35 488 logonui.exe.manifest
15.06.2009 16:35 488 WindowsLogon.manifest
15.06.2009 16:35 749 ncpa.cpl.manifest
15.06.2009 16:35 749 wuaucpl.cpl.manifest
15.06.2009 16:35 749 cdplayer.exe.manifest
15.06.2009 16:35 749 nwc.cpl.manifest
15.06.2009 16:35 749 sapi.cpl.manifest
15.06.2009 16:34 21.740 emptyregdb.dat
01.06.2009 09:51 23.635.392 MRT.exe
25.05.2009 00:24 350.208 mssph.dll
13.05.2009 07:02 915.456 wininet.dll
13.05.2009 07:02 5.936.128 mshtml.dll
12.05.2009 15:12 26.144 spupdsvc.exe
07.05.2009 17:32 348.160 localspl.dll
30.04.2009 23:13 1.985.024 iertutil.dll
30.04.2009 23:13 11.064.832 ieframe.dll
30.04.2009 23:12 25.600 jsproxy.dll
30.04.2009 23:12 1.207.808 urlmon.dll
30.04.2009 23:12 1.469.440 inetcpl.cpl
30.04.2009 23:12 385.536 iedkcs32.dll
30.04.2009 13:21 173.056 ie4uinit.exe
19.04.2009 21:46 1.847.296 win32k.sys
15.04.2009 16:51 585.216 rpcrt4.dll
21.03.2009 16:06 1.063.424 kernel32.dll
10.03.2009 22:18 1.482.112 LegitCheckControl.dll
10.03.2009 22:18 970.632 WgaTray.exe
10.03.2009 22:18 265.096 WgaLogon.dll
08.03.2009 14:29 1.302.528 ieframe.dll.mui
08.03.2009 14:29 57.344 msrating.dll.mui
08.03.2009 14:28 2.560 mshta.exe.mui
08.03.2009 14:27 4.096 ie4uinit.exe.mui
08.03.2009 14:27 12.288 advpack.dll.mui
08.03.2009 14:27 81.920 iedkcs32.dll.mui
08.03.2009 04:35 385.024 html.iec
08.03.2009 04:34 208.384 WinFXDocObj.exe
08.03.2009 04:34 236.544 webcheck.dll
08.03.2009 04:34 43.008 licmgr10.dll
08.03.2009 04:34 105.984 url.dll
08.03.2009 04:34 193.536 msrating.dll
08.03.2009 04:34 109.568 occache.dll
08.03.2009 04:33 18.944 corpol.dll
08.03.2009 04:33 726.528 jscript.dll
08.03.2009 04:33 229.376 ieaksie.dll
08.03.2009 04:33 420.352 vbscript.dll
08.03.2009 04:33 125.952 ieakeng.dll
08.03.2009 04:32 72.704 admparse.dll
08.03.2009 04:32 163.840 ieakui.dll
08.03.2009 04:32 36.864 ieudinit.exe
08.03.2009 04:32 71.680 iesetup.dll
08.03.2009 04:32 55.808 iernonce.dll
08.03.2009 04:32 128.512 advpack.dll
08.03.2009 04:32 94.720 inseng.dll
08.03.2009 04:32 594.432 msfeeds.dll
08.03.2009 04:32 611.840 mstime.dll
08.03.2009 04:31 183.808 iepeers.dll
08.03.2009 04:31 13.312 msfeedssync.exe
08.03.2009 04:31 55.296 msfeedsbs.dll
08.03.2009 04:31 59.904 icardie.dll
08.03.2009 04:31 348.160 dxtmsft.dll
08.03.2009 04:31 34.816 imgutil.dll
08.03.2009 04:31 216.064 dxtrans.dll
08.03.2009 04:31 46.592 pngfilt.dll
08.03.2009 04:31 66.560 mshtmled.dll
08.03.2009 04:31 48.128 mshtmler.dll
08.03.2009 04:31 1.638.912 mshtml.tlb
08.03.2009 04:31 45.568 mshta.exe
08.03.2009 04:30 66.560 tdc.ocx
08.03.2009 04:22 164.352 ieui.dll
08.03.2009 04:22 156.160 msls31.dll
08.03.2009 04:15 57.667 ieuinit.inf
08.03.2009 04:11 445.952 ieapfltr.dll
06.03.2009 16:19 286.720 pdh.dll
03.03.2009 01:10 1.499.136 shdocvw.dll
12.02.2009 22:20 6.873 IE8Eula.rtf
09.02.2009 13:21 2.026.496 ntkrnlpa.exe
09.02.2009 13:21 2.147.840 ntoskrnl.exe
09.02.2009 13:21 111.104 services.exe
09.02.2009 12:51 401.408 rpcss.dll
09.02.2009 12:51 736.768 lsasrv.dll
09.02.2009 12:51 678.400 advapi32.dll
09.02.2009 12:51 740.352 ntdll.dll
06.02.2009 21:07 3.698.584 ieapfltr.dat
06.02.2009 12:39 35.328 sc.exe
03.02.2009 21:57 56.832 secur32.dll
07.01.2009 18:21 121.856 xmllite.dll
07.01.2009 18:20 24.576 nlsdl.dll
07.01.2009 18:20 66.384 normnfkc.nls
07.01.2009 18:20 39.284 normnfd.nls
07.01.2009 18:20 45.794 normnfc.nls
07.01.2009 18:20 59.342 normidna.nls
07.01.2009 18:20 23.552 normaliz.dll
07.01.2009 18:20 26.112 idndl.dll
07.01.2009 18:20 60.294 normnfkd.nls
07.01.2009 18:20 1.988 ticrf.rat
07.01.2009 18:20 8.798 icrav03.rat
07.01.2009 18:20 265.720 msdbg2.dll
21.12.2008 00:13 1.293.824 quartz.dll
2103 Datei(en) 453.178.589 Bytes
0 Verzeichnis(se), 302.150.426.624 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 101B-FEBC
Verzeichnis von C:\WINDOWS\Prefetch
14.07.2009 10:44 16.560 FIND.EXE-0EC32F1E.pf
14.07.2009 10:44 27.070 CMD.EXE-087B4001.pf
14.07.2009 10:43 21.274 VERCLSID.EXE-3667BD89.pf
14.07.2009 10:43 107.462 EXPLORER.EXE-082F38A9.pf
14.07.2009 10:43 23.856 SEARCHFILTERHOST.EXE-148579FB.pf
14.07.2009 10:43 31.236 SEARCHPROTOCOLHOST.EXE-34E0253A.pf
14.07.2009 10:40 19.484 AD-AWAREADMIN.EXE-1618EEEB.pf
14.07.2009 10:40 26.900 WUAUCLT.EXE-399A8E72.pf
14.07.2009 10:40 19.754 AAWTRAY.EXE-31E33C30.pf
14.07.2009 10:40 84.302 FIREFOX.EXE-1D57670A.pf
14.07.2009 10:40 47.884 SVCHOST.EXE-3530F672.pf
14.07.2009 10:40 22.924 UNSECAPP.EXE-1A95A33B.pf
14.07.2009 10:40 1.022.122 NTOSBOOT-B00DFAAD.pf
13.07.2009 13:01 23.106 NOTEPAD.EXE-336351A9.pf
13.07.2009 12:55 58.876 AVCENTER.EXE-1D2DB8A2.pf
13.07.2009 12:42 49.456 WMIPRVSE.EXE-28F301A9.pf
13.07.2009 12:41 26.500 HIJACKTHIS.EXE-07A1A037.pf
13.07.2009 12:41 22.992 IMAPI.EXE-0BF740A4.pf
13.07.2009 12:41 20.786 THREATWORK.EXE-2CC668FF.pf
13.07.2009 12:39 51.840 AD-AWARE.EXE-2B8B58D1.pf
13.07.2009 12:22 24.158 LOGONUI.EXE-0AF22957.pf
13.07.2009 12:11 60.096 AAWSERVICE.EXE-1E1DE6D1.pf
13.07.2009 12:11 66.172 AAWDRIVERTOOL.EXE-3120C237.pf
13.07.2009 12:11 121.342 MSIEXEC.EXE-2F8A8CAE.pf
13.07.2009 12:10 50.810 AD-AWAREAE.EXE-21B22F4A.pf
13.07.2009 12:10 14.598 LAVASOFTGCHELPER.EXE-000613F0.pf
13.07.2009 12:10 48.578 AD-AWAREAE.EXE-1B916B1C.pf
13.07.2009 12:01 15.234 HJTINSTALL.EXE-2A2FAC16.pf
13.07.2009 11:52 54.012 AVNOTIFY.EXE-31D7686A.pf
13.07.2009 11:52 53.820 UPDATE.EXE-3398FCD6.pf
13.07.2009 11:51 52.990 RSTRUI.EXE-03C49A96.pf
10.07.2009 15:37 25.642 CLEARPROG.EXE-1934C98F.pf
10.07.2009 15:37 64.572 WINWORD.EXE-0B995611.pf
10.07.2009 15:37 51.362 EXCEL.EXE-3AB61D88.pf
10.07.2009 15:36 50.634 RUNDLL32.EXE-365598D1.pf
10.07.2009 15:36 82.040 IEXPLORE.EXE-2CA9778D.pf
10.07.2009 15:34 22.750 SETUP_CLEARPROG_1.6.0_FINAL.E-02A48FC3.pf
10.07.2009 15:33 50.690 AVSCAN.EXE-25724B6E.pf
10.07.2009 15:33 19.462 SISTRAY.EXE-245DBCED.pf
10.07.2009 15:33 21.004 SYNTPENH.EXE-3967AE36.pf
10.07.2009 15:33 17.648 READER_SL.EXE-2FAFE67A.pf
10.07.2009 15:33 27.764 HOTKEYDRIVER.EXE-17414144.pf
10.07.2009 15:33 49.982 RTHDCPL.EXE-06918CFA.pf
10.07.2009 15:33 24.458 BISONHK.EXE-22F5030C.pf
10.07.2009 15:33 36.052 USERINIT.EXE-30B18140.pf
10.07.2009 15:33 23.296 SYNTPSTART.EXE-1F6C3895.pf
10.07.2009 15:33 15.694 ALCMTR.EXE-235F9538.pf
10.07.2009 15:33 19.380 RUNDLL32.EXE-2C2091C4.pf
10.07.2009 15:33 53.600 WGATRAY.EXE-0ED38BED.pf
10.07.2009 15:20 21.466 HARALD.MAAS.EXE-274417E1.pf
10.07.2009 15:19 82.040 UVPL.EXE-138ED5B7.pf
10.07.2009 15:16 36.790 HELPHOST.EXE-247D2792.pf
10.07.2009 15:16 56.384 HELPSVC.EXE-2878DDA2.pf
10.07.2009 15:16 57.654 HELPCTR.EXE-3862B6F5.pf
10.07.2009 15:15 48.412 RUNDLL32.EXE-2905E326.pf
10.07.2009 15:15 32.406 RUNDLL32.EXE-44A0B4BC.pf
10.07.2009 14:30 19.544 CTFMON.EXE-0E17969B.pf
10.07.2009 13:21 35.238 MSTORDB.EXE-0440081C.pf
10.07.2009 13:12 18.266 RUNDLL32.EXE-268BFF96.pf
09.07.2009 15:57 66.108 OUTLOOK.EXE-2FC6F8AB.pf
09.07.2009 15:05 552.542 Layout.ini
08.07.2009 11:53 14.936 WSCNTFY.EXE-1B24F5EB.pf
08.07.2009 11:51 24.698 SPOOLSV.EXE-282F76A7.pf
07.07.2009 12:59 84.652 MSCORSVW.EXE-1BF30400.pf
07.07.2009 12:29 23.864 REGSVR32.EXE-25EEFE2F.pf
07.07.2009 12:29 16.440 GRPCONV.EXE-111CD845.pf
04.07.2009 15:51 35.452 WMIADAP.EXE-2DF425B2.pf
04.07.2009 15:49 57.986 UNREGMP2.EXE-07CACB61.pf
04.07.2009 15:49 8.890 SPUPDSVC.EXE-21B36524.pf
04.07.2009 15:43 8.318 WMPENC.EXE-18EEC116.pf
04.07.2009 15:42 16.970 LOGAGENT.EXE-027AF92B.pf
04.07.2009 15:39 12.140 NGEN.EXE-38021CCC.pf
04.07.2009 15:27 105.704 SERVICEMODELREG.EXE-1FB5DD06.pf
04.07.2009 15:27 24.990 CSC.EXE-01730C27.pf
04.07.2009 15:27 11.894 CVTRES.EXE-2329DCD5.pf
04.07.2009 15:27 29.448 LODCTR.EXE-1009C3B4.pf
04.07.2009 15:27 33.010 REGSVCS.EXE-11A17120.pf
04.07.2009 15:27 39.162 ASPNET_REGIIS.EXE-009D6E80.pf
04.07.2009 15:27 28.488 MOFCOMP.EXE-01718E95.pf
04.07.2009 15:27 10.378 REGTLIBV12.EXE-0E2FA54B.pf
04.07.2009 15:21 11.668 MSOHTMED.EXE-37A06F08.pf
04.07.2009 15:00 30.420 MSDTC.EXE-0E6E4AF7.pf
22.06.2009 07:21 12.932 REG.EXE-0D2A95F7.pf
15.06.2009 17:00 4.494 TZCHANGE.EXE-13537581.pf
84 Datei(en) 4.616.008 Bytes
0 Verzeichnis(se), 302.150.500.352 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 101B-FEBC
Verzeichnis von C:\WINDOWS\tasks
14.07.2009 10:38 6 SA.DAT
13.07.2009 12:11 458 Ad-Aware Update (Weekly).job
3 Datei(en) 529 Bytes
0 Verzeichnis(se), 302.150.500.352 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 101B-FEBC
Verzeichnis von C:\WINDOWS\Temp
14.07.2009 10:38 483 WGAErrLog.txt
1 Datei(en) 483 Bytes
0 Verzeichnis(se), 302.150.500.352 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 101B-FEBC
Verzeichnis von C:\DOKUME~1\HARALD~1.MAA\LOKALE~1\Temp
14.07.2009 10:39 0 etilqs_T2fEjKzg2hfSpZVP8CBE
14.07.2009 10:39 16.384 ~DFE788.tmp
13.07.2009 12:38 16.384 ~DF56A9.tmp
13.07.2009 12:20 16.384 ~DF6D97.tmp
13.07.2009 12:14 16.384 ~DF789F.tmp
13.07.2009 11:50 22.263 Turkish.bin
13.07.2009 11:50 22.868 Finnish.bin
13.07.2009 11:50 24.321 Czech.bin
13.07.2009 11:50 25.082 Portuguese(Brazil).bin
13.07.2009 11:50 24.232 Polish.bin
13.07.2009 11:50 19.564 Hebrew.bin
13.07.2009 11:50 26.094 Hungarian.bin
13.07.2009 11:50 21.975 Norwegian.bin
13.07.2009 11:50 21.987 Thai.bin
13.07.2009 11:50 25.093 Greek.bin
13.07.2009 11:50 16.420 SimChin.bin
13.07.2009 11:50 20.991 Arabic.bin
13.07.2009 11:50 26.271 Portuguese.bin
13.07.2009 11:50 26.136 Russian.bin
13.07.2009 11:50 24.093 SWEDISH.bin
13.07.2009 11:50 21.944 English.bin
13.07.2009 11:50 27.764 Spanish.bin
13.07.2009 11:50 25.764 German.bin
13.07.2009 11:50 27.421 Italian.bin
13.07.2009 11:50 16.962 TradChin.bin
13.07.2009 11:50 27.246 French.bin
13.07.2009 11:50 22.794 Danish.bin
13.07.2009 11:50 20.145 Korean.bin
13.07.2009 11:50 25.758 Dutch.bin
13.07.2009 11:50 24.340 Japanese.bin
13.07.2009 11:50 16.384 ~DF5EC2.tmp
10.07.2009 15:32 16.384 ~DF25E7.tmp
32 Datei(en) 685.832 Bytes
0 Verzeichnis(se), 302.150.496.256 Bytes frei
Code:
ATTFilter 2007 Microsoft Office system
Ad-Aware
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Avira AntiVir Personal - Free Antivirus
BisonCam
CCleaner (remove only)
ClearProg 1.6.0 Final
HijackThis 2.0.2
Hotkey
JMicron JMB38X Flash Media Controller
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Suite Activation Assistant
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.5)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB925673)
Nero 8 Essentials
QuickTime
Realtek High Definition Audio Driver
REALTEK RTL8187B Wireless LAN Driver
Security Update for Windows Search 4 - KB963093
Sicherheitsupdate für Windows Media Encoder (KB954156)
SiS VGA Utilities
SiSAGP driver
SmartSound Quicktracks Plugin
Synaptics Pointing Device Driver
Ulead VideoStudio 11 SE DVD
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Encoder 9 Series
Windows Media Format 11 runtime
Windows Media Player 11
Windows Search 4.0
|
|
14.07.2009, 11:16
| #4 |
| | Trojaner - Google leitet um Mist, das GMER-Log ist für einen Beitrag zu lang. Deshalb in zwei Teilen: Code:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-07-14 12:00:05 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- Code 8A125C58 ZwEnumerateKey Code 8A118370 ZwFlushInstructionCache Code 8A0C7A7E IofCallDriver Code 8A1089C6 IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 8A0C7A83 .text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A1089CB PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP 8A118374 PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF0 5 Bytes JMP 8A125C5C ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\ctfmon.exe[128] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00A7000A .text C:\WINDOWS\system32\ctfmon.exe[128] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00A8000A .text C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe[176] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00D5000A .text C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe[176] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00D6000A .text C:\Dokumente und Einstellungen\***\H***[188] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00E7000A .text C:\Dokumente und Einstellungen\H***\H***.exe[188] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00E8000A .text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[200] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00BC000A .text C:\Programme\Synaptics\SynTP\SynTPEnh.exe[200] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00BD000A .text C:\WINDOWS\system32\sistray.exe[240] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00B4000A .text C:\WINDOWS\system32\sistray.exe[240] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00B5000A .text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[412] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 007B000A .text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[412] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 007C000A .text C:\WINDOWS\Explorer.EXE[620] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00D0000A .text C:\WINDOWS\Explorer.EXE[620] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00D1000A .text C:\Programme\Avira\AntiVir Desktop\avguard.exe[712] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00AA000A .text C:\Programme\Avira\AntiVir Desktop\avguard.exe[712] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00AB000A .text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[768] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0092000A .text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[768] ntdll.dll!LdrUnloadDll 7C92738B 3 Bytes JMP 0093000A .text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[768] ntdll.dll!LdrUnloadDll + 4 7C92738F 1 Byte [84] .text C:\WINDOWS\system32\winlogon.exe[876] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0073000A .text C:\WINDOWS\system32\winlogon.exe[876] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 0074000A .text C:\WINDOWS\system32\services.exe[924] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0073000A .text C:\WINDOWS\system32\services.exe[924] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 0074000A .text C:\WINDOWS\system32\lsass.exe[936] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 007D000A .text C:\WINDOWS\system32\lsass.exe[936] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 0080000A .text C:\WINDOWS\BisonCam\BisonHK.exe[1060] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00AF000A .text C:\WINDOWS\BisonCam\BisonHK.exe[1060] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00B0000A .text C:\WINDOWS\system32\SearchIndexer.exe[1300] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00D4000A .text C:\WINDOWS\system32\SearchIndexer.exe[1300] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00D5000A .text C:\WINDOWS\system32\SearchIndexer.exe[1300] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation) .text C:\WINDOWS\system32\IoctlSvc.exe[1308] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 007B000A .text C:\WINDOWS\system32\IoctlSvc.exe[1308] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 007C000A .text C:\WINDOWS\system32\spoolsv.exe[1748] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00A6000A .text C:\WINDOWS\system32\spoolsv.exe[1748] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00A7000A .text C:\Programme\Avira\AntiVir Desktop\sched.exe[1812] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00A8000A .text C:\Programme\Avira\AntiVir Desktop\sched.exe[1812] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00A9000A .text C:\Programme\Synaptics\SynTP\SynTPStart.exe[1928] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00A7000A .text C:\Programme\Synaptics\SynTP\SynTPStart.exe[1928] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00A8000A .text C:\WINDOWS\RTHDCPL.EXE[1940] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 01BD000A .text C:\WINDOWS\RTHDCPL.EXE[1940] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 01BE000A .text C:\Programme\Hotkey\HotKeyDriver.exe[1972] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 012E000A .text C:\Programme\Hotkey\HotKeyDriver.exe[1972] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 012F000A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2044] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00C3000A .text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2044] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00C4000A .text C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe[2380] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0087000A .text C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe[2380] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 0088000A .text C:\WINDOWS\system32\wbem\wmiprvse.exe[2584] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 008D000A .text C:\WINDOWS\system32\wbem\wmiprvse.exe[2584] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 0090000A .text C:\WINDOWS\System32\alg.exe[2848] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0081000A .text C:\WINDOWS\System32\alg.exe[2848] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 0082000A .text C:\WINDOWS\system32\wbem\unsecapp.exe[3152] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00C2000A .text C:\WINDOWS\system32\wbem\unsecapp.exe[3152] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00C3000A .text C:\Dokumente und Einstellungen\H***\Eigene Dateien\Downloads\4vyhxm9g.exe[3912] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00AD000A .text C:\Dokumente und Einstellungen\H***\Eigene Dateien\Downloads\4vyhxm9g.exe[3912] ntdll.dll!LdrUnloadDll 7C92738B 5 Bytes JMP 00AE000A ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [620] 0x00E00000 Library \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1200] 0x00B10000 Library \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1244] 0x00B10000 Library \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1372] 0x00B10000 Library \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1404] 0x00B10000 Library \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1564] 0x00B10000 Library \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1872] 0x00B10000 Library \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [3616] 0x00B10000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\UACqibphweavxewmdbwe.sys (*** hidden *** ) [SYSTEM] UACd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACqibphweavxewmdbwe.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACqibphweavxewmdbwe.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACmovrypmprqjbebuyx.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACmbnlsiyuuueloygll.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UAClwlmhxysaeqqfoofx.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACmiqbsljpixabkxdpt.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACagxdnribrljecxhst.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACfrjrardujpieddkyh.db Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACqibphweavxewmdbwe.sys Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACqibphweavxewmdbwe.sys Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACmovrypmprqjbebuyx.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACmbnlsiyuuueloygll.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UAClwlmhxysaeqqfoofx.dat Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACmiqbsljpixabkxdpt.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACagxdnribrljecxhst.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACfrjrardujpieddkyh.db Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACxvhakpkxfncnsutwp.dll |
|
14.07.2009, 11:20
| #5 |
| | Trojaner - Google leitet um und hier Teil 2: Code:
ATTFilter ---- Files - GMER 1.0.15 ----
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Quarantine\uacxvhakpkxfncnsutwp.dll.f376ca4a672e76102b96ef6c3247e0.aawqff 30212 bytes
File C:\Dokumente und Einstellungen\H***\Lokale Einstellungen\Temp\UAC55fa.tmp 343040 bytes executable
File C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_MP3.dat 1781 bytes
File C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_MP4.dat 5387 bytes
File C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_MPA.dat 3475 bytes
File C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_OGG.dat 2020 bytes
File C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_WAV.dat 1555 bytes
File C:\Programme\Ulead Systems\Ulead VideoStudio 11 SE DVD\AudioQuality\UAC_TMPL_WMA.dat 7175 bytes
File C:\WINDOWS\system32\drivers\UACqibphweavxewmdbwe.sys 56320 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\UACagxdnribrljecxhst.dll 19456 bytes executable
File C:\WINDOWS\system32\UACfrjrardujpieddkyh.db 1110399 bytes
File C:\WINDOWS\system32\uacinit.dll 6589 bytes
File C:\WINDOWS\system32\UAClwlmhxysaeqqfoofx.dat 310 bytes
File C:\WINDOWS\system32\UACmbnlsiyuuueloygll.dll 70656 bytes executable
File C:\WINDOWS\system32\UACmiqbsljpixabkxdpt.dll 18432 bytes executable
File C:\WINDOWS\system32\UACmovrypmprqjbebuyx.dll 28672 bytes executable
File C:\WINDOWS\system32\uactmp.db 0 bytes
File C:\WINDOWS\system32\UACxvhakpkxfncnsutwp.dll 30208 bytes executable
File C:\WINDOWS\Temp\UAC1519.tmp 69120 bytes executable
File C:\WINDOWS\Temp\UAC27b.tmp 310 bytes
File C:\WINDOWS\Temp\UAC80c4.tmp 1110399 bytes
File C:\WINDOWS\Temp\UAC85b5.tmp 30208 bytes executable
File C:\WINDOWS\Temp\UAC8cca.tmp 28672 bytes executable
File C:\WINDOWS\Temp\UAC9238.tmp 56320 bytes executable
File C:\WINDOWS\Temp\UACa3ad.tmp 18432 bytes executable
File C:\WINDOWS\Temp\UACb169.tmp 19456 bytes executable
---- EOF - GMER 1.0.15 ----
Viele Grüße Harri |
|
14.07.2009, 16:55
| #6 | |
| /// Helfer-Team | Trojaner - Google leitet um hi 1. Wichtig!: Zitat:
Geh auf den Reiter "Services". Dort sollte das gefundene Rootkit dann rot erscheinen. Klicke mit der rechten Maustaste drauf und wähle "delete". Falls eine Sicherheitsabfrage kommt, bejahe sie bitte ► 'Anleitung' visuell 2. Dann lass` "gmer" erneut scannen Scanner wieder einschalten, bevor Du ins Netz gehst! und poste den Bericht. |
|
| Themen zu Trojaner - Google leitet um |
| abgesicherten modus, ad-aware, antivir, antivir guard, avira, awareness, bho, cleaning, cpu, desktop, einstellungen, entfernen, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, kompatibilität, logfile, problem, required, rundll, software, system, trojaner, uleadburninghelper, updates, windows, windows xp |
Hybrid-Darstellung
