| |
| |||||||
Log-Analyse und Auswertung: Cognac Trojaner kann nicht entfernt werdenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
15.07.2009, 13:11
| #1 |
 |  Cognac Trojaner kann nicht entfernt werden Ich habe erstmal gegoogelt und habe dabei herausgefunden, dass dieser Trojaner sich verfielfacht. Jedoch öffnet sich bei mir plötzlich der Internet-Explorer voller Werbung. In C:\Dokumente und Einstellungen\Patrick R\Lokale Einstellungen\Temp existiert eine Datei namens: "a.dat, die sich nicht löschen lässt. Ich habe bisher versucht mit "regedit" unter "Current Wondows Version" den "Cognac"- Ordner zu löschen, vergebens. Der Trojaner versucht sich auch permanent in die Boot.ini einzuschreiben, was ich aber mit "Trojancheck 6" blocken kann. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:46:03, on 15.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avmailc.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\msa.exe C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Razer\Lachesis\razerhid.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Razer\Lachesis\OSD.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Razer\Lachesis\razertra.exe C:\Programme\Razer\Lachesis\razerofa.exe C:\Programme\ASUS\AASP\1.00.59\aaCenter.exe C:\Dokumente und Einstellungen\Patrick R\Desktop\CryptLoad_1.1.4\CryptLoad.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Mozilla Firefox\firefox1.exe C:\Programme\Windows Live\Mail\wlmail.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe" O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe O4 - HKLM\..\Run: [ASUS Energy Saving] "C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [Lachesis] C:\Programme\Razer\Lachesis\razerhid.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe |
|
15.07.2009, 23:19
| #2 |
| /// Helfer-Team    | Cognac Trojaner kann nicht entfernt werden Hallo HausTia
__________________ - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5.
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
02.08.2009, 22:58
| #3 |
| | Cognac Trojaner kann nicht entfernt werden So ich habe jetzte alles gemacht was du mir geschrieben hast:
__________________Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\
02.08.2009 20:40 43 filelist.txt
02.08.2009 19:50 534 RTHDCPL_Dump.txt
02.08.2009 19:47 2.145.386.496 pagefile.sys
09.06.2009 18:47 122 fpRedmon.log
08.04.2009 10:35 232 sqmdata00.sqm
08.04.2009 10:35 244 sqmnoopt00.sqm
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS
02.08.2009 20:39 662.853 setupapi.log
02.08.2009 20:33 1.066.708 WindowsUpdate.log
02.08.2009 19:48 0 0.log
02.08.2009 19:47 159 wiadebug.log
02.08.2009 19:47 50 wiaservc.log
02.08.2009 19:47 2.048 bootstat.dat
15.07.2009 23:07 32.386 SchedLgU.Txt
15.07.2009 22:45 116 NeroDigital.ini
15.07.2009 20:01 275.045 DirectX.log
12.07.2009 00:19 135.680 msa.exe
07.07.2009 19:07 24.861 wmsetup.log
21.06.2009 23:27 30.535 scunin.dat
21.06.2009 23:27 967 ScUnin.pif
21.06.2009 23:27 69.632 ScUnin.exe
11.06.2009 00:13 683 win.ini
11.06.2009 00:13 44.170 tabletoc.log
11.06.2009 00:13 968.012 iis6.log
11.06.2009 00:13 399.485 tsoc.log
11.06.2009 00:13 48.081 ocmsn.log
11.06.2009 00:13 297.586 comsetup.log
11.06.2009 00:13 1.374 imsins.log
11.06.2009 00:13 178.607 ntdtcsetup.log
11.06.2009 00:13 20.018 KB961501.log
11.06.2009 00:13 417.140 ocgen.log
11.06.2009 00:13 60.137 MedCtrOC.log
11.06.2009 00:13 43.513 msgsocm.log
11.06.2009 00:13 152.244 netfxocm.log
11.06.2009 00:13 864.824 FaxSetup.log
11.06.2009 00:13 269.390 msmqinst.log
11.06.2009 00:13 1.374 imsins.BAK
11.06.2009 00:13 25.394 KB969897.log
11.06.2009 00:12 44.407 updspapi.log
11.06.2009 00:12 11.364 KB969898.log
11.06.2009 00:11 17.293 KB970238.log
11.06.2009 00:11 16.721 KB968537.log
10.06.2009 15:45 737.280 iun6002.exe
25.04.2009 16:30 291.629 svcpack.log
21.04.2009 17:48 43.833 spupdsvc.log
21.04.2009 17:48 187 spupdsvc.log.1.log
20.04.2009 13:09 23.591 WgaNotify.log
20.04.2009 12:47 13.639 KB959426.log
20.04.2009 12:47 11.943 KB961373.log
20.04.2009 00:25 24.031 KB956572.log
20.04.2009 00:25 20.899 KB952004.log
20.04.2009 00:24 17.762 KB960803.log
20.04.2009 00:24 21.556 KB963027.log
20.04.2009 00:23 10.805 KB923561.log
06.04.2009 17:26 6.120 BricoPackFoldersDelete.cmd
06.04.2009 17:26 54.886 BricoPackUninst.cmd
06.04.2009 17:26 54.886 BricoPackUninst.txt
06.04.2009 17:26 3.932.214 BricoPack Wallpaper.bmp
21.03.2009 12:39 231 LGNSlog.txt
11.03.2009 20:28 13.351 KB960225.log
11.03.2009 20:28 13.643 KB958690.log
11.03.2009 20:27 5.430 KB959772.log
25.02.2009 19:53 7.683 KB961118.log
25.02.2009 19:53 12.765 KB967715.log
13.02.2009 15:50 197.065 setupact.log
11.02.2009 20:55 6.069 KB960715.log
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\system
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\system32
02.08.2009 19:50 2.206 wpa.dbl
02.08.2009 19:47 47.604 ativvaxx.cap
10.07.2009 14:48 189.288 PnkBstrB.xtr
10.07.2009 14:48 189.288 PnkBstrB.exe
08.07.2009 01:55 41.808 xfcodec.dll
26.06.2009 22:04 75.064 PnkBstrA.exe
11.06.2009 10:49 292.480 FNTCACHE.DAT
10.06.2009 15:46 67.700 perfc009.dat
10.06.2009 15:46 432.936 perfh009.dat
10.06.2009 15:46 449.478 perfh007.dat
10.06.2009 15:46 80.426 perfc007.dat
10.06.2009 15:46 1.043.802 PerfStringBackup.INI
08.06.2009 15:33 8.676.883 mp3Media2.dll
01.06.2009 18:51 23.635.392 MRT.exe
07.05.2009 17:42 346.624 localspl.dll
29.04.2009 06:51 3.081.728 mshtml.dll
29.04.2009 06:51 618.496 urlmon.dll
29.04.2009 06:51 1.023.488 browseui.dll
29.04.2009 06:51 474.624 shlwapi.dll
29.04.2009 06:51 449.024 mshtmled.dll
29.04.2009 06:51 16.384 jsproxy.dll
29.04.2009 06:51 665.088 wininet.dll
29.04.2009 06:51 1.495.552 shdocvw.dll
29.04.2009 06:51 96.768 inseng.dll
29.04.2009 06:51 39.424 pngfilt.dll
29.04.2009 06:51 146.432 msrating.dll
29.04.2009 06:51 532.480 mstime.dll
29.04.2009 06:51 251.392 iepeers.dll
29.04.2009 06:51 205.312 dxtrans.dll
29.04.2009 06:51 81.920 ieencode.dll
29.04.2009 06:51 1.056.256 danim.dll
29.04.2009 06:51 55.808 extmgr.dll
29.04.2009 06:51 357.888 dxtmsft.dll
29.04.2009 06:51 152.064 cdfview.dll
29.04.2009 06:35 371.200 html.iec
27.04.2009 11:48 374.272 xpsp3res.dll
19.04.2009 22:06 1.846.784 win32k.sys
15.04.2009 17:11 584.192 rpcrt4.dll
06.04.2009 17:26 219.648 uxtheme.dll
05.04.2009 20:12 3.774 jupdate-1.6.0_13-b03.log
21.03.2009 16:20 1.059.840 kernel32.dll
10.03.2009 22:18 970.632 WgaTray.exe
10.03.2009 22:18 1.482.112 LegitCheckControl.dll
10.03.2009 22:18 265.096 WgaLogon.dll
09.03.2009 05:19 148.888 javaws.exe
09.03.2009 05:19 144.792 javaw.exe
09.03.2009 05:19 144.792 java.exe
09.03.2009 05:19 410.984 deploytk.dll
09.03.2009 02:53 73.728 javacpl.cpl
06.03.2009 16:44 286.208 pdh.dll
09.02.2009 13:47 2.018.304 ntkrnlpa.exe
09.02.2009 13:47 2.138.624 ntoskrnl.exe
09.02.2009 12:18 677.888 advapi32.dll
09.02.2009 12:18 399.360 rpcss.dll
09.02.2009 12:18 731.136 lsasrv.dll
09.02.2009 12:18 740.352 ntdll.dll
09.02.2009 12:04 111.104 services.exe
06.02.2009 18:54 35.328 sc.exe
03.02.2009 22:08 55.808 secur32.dll
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\Prefetch
02.08.2009 20:40 11.020 FIND.EXE-0EC32F1E.pf
02.08.2009 20:40 17.500 CMD.EXE-087B4001.pf
02.08.2009 20:39 27.606 FACT.EXE-1F48D283.pf
02.08.2009 20:39 119.656 FIREFOX1.EXE-1ECE65F9.pf
02.08.2009 20:39 8.000 JQSNOTIFY.EXE-1E60A522.pf
02.08.2009 20:39 58.222 AVCENTER.EXE-1D2DB8A2.pf
02.08.2009 20:37 40.220 4NZGRNR8.EXE-2E2ED85B.pf
02.08.2009 20:36 19.144 CCLEANER.EXE-065E2F3F.pf
02.08.2009 20:36 19.858 CCSETUP222_SLIM.EXE-1DA70C23.pf
02.08.2009 20:35 13.568 NOTEPAD.EXE-336351A9.pf
02.08.2009 20:33 60.754 WINRAR.EXE-3588DFE8.pf
02.08.2009 20:33 59.672 EXPLORER.EXE-082F38A9.pf
02.08.2009 20:33 13.820 VERCLSID.EXE-3667BD89.pf
02.08.2009 20:30 61.870 WMPLAYER.EXE-09969338.pf
02.08.2009 20:28 77.576 WMIPRVSE.EXE-28F301A9.pf
02.08.2009 20:28 98.136 WLMAIL.EXE-07132131.pf
02.08.2009 20:27 103.526 CRYPTLOAD.EXE-2DA99FFF.pf
02.08.2009 20:17 94.042 IEXPLORE.EXE-2CA9778D.pf
02.08.2009 20:00 56.872 MSA.EXE-1E98B210.pf
02.08.2009 19:55 58.606 JAVA.EXE-2167859B.pf
02.08.2009 19:50 17.264 RAZERTRA.EXE-16BC8261.pf
02.08.2009 19:50 21.434 MSMSGS.EXE-32066BA5.pf
02.08.2009 19:50 44.014 RTHDCPL.EXE-06918CFA.pf
02.08.2009 19:50 17.532 PWSAVE.EXE-192F99AA.pf
02.08.2009 19:50 12.534 FPASSIST.EXE-18368AA2.pf
02.08.2009 19:50 15.672 USERINIT.EXE-30B18140.pf
02.08.2009 19:50 42.654 WGATRAY.EXE-0ED38BED.pf
02.08.2009 19:50 8.020 QTTASK.EXE-2D7EEF34.pf
02.08.2009 19:50 11.628 CPULEVELUPHELP.EXE-1372A4FC.pf
02.08.2009 19:50 59.068 UPDATE.EXE-3398FCD6.pf
02.08.2009 19:49 1.339.000 NTOSBOOT-B00DFAAD.pf
15.07.2009 22:45 164.020 VLC.EXE-29851A71.pf
15.07.2009 22:00 48.876 HELPSVC.EXE-2878DDA2.pf
15.07.2009 22:00 14.372 GUARDGUI.EXE-147E0160.pf
15.07.2009 21:17 56.212 WAR3.EXE-3858031C.pf
15.07.2009 21:17 19.994 FROZEN THRONE.EXE-0ED0B3D3.pf
15.07.2009 20:22 34.594 AUTOHOTKEY.EXE-033E2A15.pf
15.07.2009 20:20 43.514 RAZERCFG.EXE-23FACD32.pf
15.07.2009 20:19 15.250 TASKMGR.EXE-20256C55.pf
15.07.2009 20:18 45.994 SDFIX.EXE-1A9E88EB.pf
15.07.2009 20:17 13.012 REGEDIT.EXE-1B606482.pf
15.07.2009 20:01 33.732 MSIEXEC.EXE-2F8A8CAE.pf
15.07.2009 20:01 6.318 DXDLLREG.EXE-3B244143.pf
15.07.2009 20:01 51.742 DXSETUP.EXE-347BCA3F.pf
15.07.2009 20:00 57.298 GAMEINST.EXE-076AE523.pf
15.07.2009 20:00 138.176 SETUP.EXE-31B8D3C3.pf
15.07.2009 20:00 32.886 AUTORUN.EXE-03D046DC.pf
15.07.2009 20:00 57.974 GAMEINST.EXE-21449C7C.pf
15.07.2009 20:00 57.298 GAMEINST.EXE-37950C06.pf
15.07.2009 19:58 6.330 DXDLLREG.EXE-08B98EF1.pf
15.07.2009 19:58 14.246 DXSETUP.EXE-2979CC15.pf
15.07.2009 19:56 57.362 GAMEINST.EXE-372BC0C6.pf
15.07.2009 19:56 15.884 SETUP.EXE-327952C5.pf
15.07.2009 19:55 45.594 ACROSETUP.EXE-1AF5AFDF.pf
15.07.2009 19:55 12.220 BSSNDRPT.EXE-2F822E94.pf
15.07.2009 19:55 57.298 GAMEINST.EXE-292492DA.pf
15.07.2009 19:44 8.546 DXDLLREG.EXE-35714334.pf
15.07.2009 19:44 51.804 DXSETUP.EXE-141E3053.pf
15.07.2009 19:41 57.152 GAMEINST.EXE-1F5CA002.pf
15.07.2009 19:17 334.776 Layout.ini
15.07.2009 18:54 11.744 RUNDLL32.EXE-3AF10E20.pf
15.07.2009 18:06 40.646 MP3MEDIA2.DLL-181D4ECE.pf
15.07.2009 18:06 38.186 FLV2MP3.EXE-07A13B4A.pf
15.07.2009 13:46 20.180 HIJACKTHIS.EXE-39024128.pf
15.07.2009 11:38 76.398 DFRGNTFS.EXE-269967DF.pf
15.07.2009 11:38 16.394 DEFRAG.EXE-273F131E.pf
15.07.2009 10:40 19.446 TCGUARD.EXE-1CA88984.pf
15.07.2009 10:40 6.104 OSD.EXE-0373909B.pf
15.07.2009 10:40 10.238 JUSCHED.EXE-336229D9.pf
15.07.2009 10:40 101.186 CPUPOWERMONITOR.EXE-20929CF4.pf
15.07.2009 10:40 15.514 RAZERHID.EXE-2D2B1F2B.pf
15.07.2009 10:40 10.384 READER_SL.EXE-2FAFE67A.pf
15.07.2009 10:40 10.540 ALCMTR.EXE-235F9538.pf
15.07.2009 10:40 5.090 CLISTART.EXE-025897C5.pf
14.07.2009 20:39 11.250 RUNDLL32.EXE-451FC2C0.pf
14.07.2009 20:12 65.298 XFIRE.EXE-021C4593.pf
12.07.2009 00:44 102.184 FIREFOX.EXE-1D57670A.pf
07.07.2009 00:29 20.812 WUAUCLT.EXE-399A8E72.pf
07.07.2009 00:27 34.400 AVWSC.EXE-24612965.pf
21.03.2009 10:58 36.228 AVWSC.EXE-21794CE9.pf
80 Datei(en) 4.813.184 Bytes
0 Verzeichnis(se), 109.460.598.784 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\tasks
02.08.2009 20:00 248 {5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
02.08.2009 20:00 292 {783AF354-B514-42d6-970E-3E8BF0A5279C}.job
02.08.2009 19:47 6 SA.DAT
4 Datei(en) 611 Bytes
0 Verzeichnis(se), 109.460.598.784 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\Temp
02.08.2009 19:50 483 WGAErrLog.txt
02.08.2009 19:47 16.384 Perflib_Perfdata_6f4.dat
09.06.2009 18:47 378 fpRedmon.log
12.05.2009 19:27 94.228 Microsoft .NET Framework 3.5-KB958484_20090512_172718312.html
12.05.2009 19:27 750.934 Microsoft .NET Framework 3.5-KB958484_20090512_172718312-Msi0.txt
12.05.2009 19:27 113.324 Microsoft .NET Framework 3.0-KB958483_20090512_172652718.html
12.05.2009 19:27 2.120.580 Microsoft .NET Framework 3.0-KB958483_20090512_172652718-Msi0.txt
12.05.2009 19:27 4.841 dd_wcf_retCA266E.txt
12.05.2009 19:26 506.044 Microsoft .NET Framework 2.0-KB958481_20090512_172500218.html
12.05.2009 19:26 9.420.894 Microsoft .NET Framework 2.0-KB958481_20090512_172500218-Msi0.txt
12.05.2009 19:26 5.158 ASPNETSetup_00000.log
20.04.2009 00:25 524.288 TMP00000001008EC730F6AD82A0
20.04.2009 00:25 4.604.240 mpengine.dll
19.04.2009 21:01 16.384 Perflib_Perfdata_71c.dat
14 Datei(en) 18.178.160 Bytes
0 Verzeichnis(se), 109.460.598.784 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp
02.08.2009 20:40 20.316 a.dat
02.08.2009 20:39 0 etilqs_kb0A2XWX217hspmrIiga
02.08.2009 20:39 0 etilqs_WEGj7wCgrnZJHlFEurhI
02.08.2009 20:31 28.700 etilqs_ktYed9IFln3wmmGUMYu7
02.08.2009 19:55 184.446 jusched.log
02.08.2009 19:50 16.384 Perflib_Perfdata_e08.dat
02.08.2009 19:50 16.384 ~DF7280.tmp
15.07.2009 20:00 49 1215wrfiles.~lk
15.07.2009 20:00 49 6209wrfiles.~lk
15.07.2009 20:00 49 8220wrfiles.~lk
15.07.2009 19:56 49 1720wrfiles.~lk
15.07.2009 19:56 49 7653wrfiles.~lk
15.07.2009 19:56 316 MSIe7ea6.LOG
15.07.2009 19:55 49 3707wrfiles.~lk
15.07.2009 19:41 49 1964wrfiles.~lk
14.07.2009 20:41 7.326 java_install_reg.log
10.07.2009 20:32 17.060 wmplog00.sqm
09.07.2009 22:37 22.432 mod13F.tmp
09.07.2009 22:37 34 mod13D.tmp
09.07.2009 22:37 435 mod13E.tmp
09.07.2009 22:37 22.432 mod13C.tmp
09.07.2009 22:37 34 mod13A.tmp
09.07.2009 22:37 437 mod13B.tmp
09.07.2009 01:31 4.780.760 DWPUpgradeInstaller.exe
29.06.2009 16:10 755 ws_NET_20090629_0.log
29.06.2009 16:09 59.964 AdskCleanup.0001
28.06.2009 16:04 0 9taHv0hY.htm.part
28.06.2009 16:03 0 ThMiAYuY.htm.part
28.06.2009 15:34 755 ws_NET_20090628_0.log
15.06.2009 15:53 755 ws_NET_20090615_0.log
13.06.2009 12:57 0 jar_cache3084711512190355124.tmp
08.06.2009 17:34 0 7vi7D.tmp
07.06.2009 14:53 0 i1y66.tmp
07.06.2009 12:17 141 browserview-e2f090.htm
07.06.2009 12:17 45.187 browserview-1d42150.htm
24.05.2009 18:35 0 iuk9F.tmp
24.05.2009 18:34 0 6xs9D.tmp
22.05.2009 20:06 141 browserview-3455b00.htm
22.05.2009 20:06 40.795 browserview-1cf6870.htm
22.05.2009 20:06 141 browserview-e1d4b0.htm
21.05.2009 11:31 141 browserview-e1d3b8.htm
21.05.2009 11:31 141 browserview-37cd008.htm
21.05.2009 11:31 44.923 browserview-1ce8778.htm
18.05.2009 22:53 755 ws_NET_20090518_0.log
16.05.2009 17:37 59.964 Adobelm_Cleanup.0001
04.05.2009 18:10 755 ws_NET_20090504_0.log
04.05.2009 16:20 0 b86B.tmp
04.05.2009 16:19 0 tlf5.tmp
03.05.2009 11:53 755 ws_NET_20090503_0.log
02.05.2009 16:42 1.510 ws_NET_20090502_0.log
01.05.2009 10:13 11.246 dd_vcredistUI4604.txt
01.05.2009 10:13 523.114 dd_vcredistMSI4604.txt
01.05.2009 10:11 15.466 dd_vcredistUI443E.txt
01.05.2009 10:11 521.982 dd_vcredistMSI443E.txt
25.04.2009 16:32 11.182 dd_vcredistUI1368.txt
25.04.2009 16:32 521.602 dd_vcredistMSI1368.txt
25.04.2009 16:23 141 browserview-df1ad8.htm
25.04.2009 16:23 4.595 browserview-1c805f8.htm
19.04.2009 21:19 2.374 java_install_sp.log
19.04.2009 21:19 1.532.928 11a68f.mst
19.04.2009 21:19 9.635 jinstall.cfg
19.04.2009 21:11 0 uqu33.tmp
12.04.2009 22:48 141 browserview-dd0538.htm
12.04.2009 22:48 55.432 browserview-1aaea78.htm
09.04.2009 14:23 7.108 aa38_appcompat.txt
06.04.2009 17:29 55.147 browserview-1a6c7d0.htm
06.04.2009 17:29 141 browserview-dd1af0.htm
06.04.2009 17:27 798 PrePict.htm
06.04.2009 09:06 0 5ubB.tmp
05.04.2009 22:57 141 browserview-d81030.htm
05.04.2009 22:57 51.799 browserview-1a27f18.htm
05.04.2009 20:12 1.532.928 67775.mst
04.04.2009 14:53 141 browserview-34b3500.htm
04.04.2009 14:53 141 browserview-d81110.htm
04.04.2009 14:53 41.897 browserview-1a23790.htm
02.04.2009 19:38 141 browserview-30ee9d8.htm
29.03.2009 22:03 141 browserview-d80b78.htm
29.03.2009 22:03 141 browserview-30bff78.htm
29.03.2009 22:03 55.982 browserview-1a4caa0.htm
29.03.2009 05:43 141 browserview-d814a0.htm
29.03.2009 05:43 51.351 browserview-1a03ca8.htm
28.03.2009 19:10 76 dw.log
25.03.2009 09:02 607.640 jre-6u13-windows-i586-p-iftw.exe
22.03.2009 22:17 755 ws_NET_20090322_0.log
21.03.2009 16:35 141 browserview-d81028.htm
21.03.2009 16:35 41.901 browserview-19fcaa8.htm
21.03.2009 10:58 189.528 dd_vcredistUI656D.txt
21.03.2009 10:58 525.636 dd_vcredistMSI656D.txt
19.03.2009 19:43 189.576 dd_vcredistUI5AED.txt
19.03.2009 19:43 526.776 dd_vcredistMSI5AED.txt
18.03.2009 22:02 189.526 dd_vcredistUI769E.txt
18.03.2009 22:02 525.388 dd_vcredistMSI769E.txt
18.03.2009 21:57 12.304 etilqs_946sXXhHmIXIyCoH69a3
14.03.2009 17:54 141 browserview-d7ee38.htm
14.03.2009 17:54 50.814 browserview-19cfa88.htm
08.03.2009 15:18 0 W_6Cuu4l.htm.part
08.03.2009 14:02 693 TWAIN.LOG
08.03.2009 14:02 156 Twunk001.MTX
08.03.2009 14:02 2 Twain001.Mtx
04.03.2009 16:01 0 Twunk002.MTX
01.03.2009 15:27 0 3DyKoja6.htm.part
01.03.2009 01:33 141 browserview-d80568.htm
01.03.2009 01:33 141 browserview-2f11f40.htm
01.03.2009 01:33 49.958 browserview-1958480.htm
28.02.2009 19:48 141 browserview-d80470.htm
28.02.2009 19:48 55.268 browserview-1949750.htm
28.02.2009 13:30 141 browserview-dcf2e0.htm
28.02.2009 13:30 40.985 browserview-1995080.htm
111 Datei(en) 13.659.113 Bytes
0 Verzeichnis(se), 109.460.590.592 Bytes frei
|
|
02.08.2009, 23:09
| #4 |
| | Cognac Trojaner kann nicht entfernt werden GMER: Code:
ATTFilter GMER 1.0.15.15011 [4nzgrnr8.exe] - http://www.gmer.net
Rootkit scan 2009-08-02 23:21:43
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT BA7CA6A6 ZwCreateKey
SSDT BA7CA69C ZwCreateThread
SSDT BA7CA6AB ZwDeleteKey
SSDT BA7CA6B5 ZwDeleteValueKey
SSDT spgf.sys ZwEnumerateKey [0xB9EC8CA2]
SSDT spgf.sys ZwEnumerateValueKey [0xB9EC9030]
SSDT BA7CA6BA ZwLoadKey
SSDT spgf.sys ZwOpenKey [0xB9EAB0C0]
SSDT BA7CA688 ZwOpenProcess
SSDT BA7CA68D ZwOpenThread
SSDT spgf.sys ZwQueryKey [0xB9EC9108]
SSDT spgf.sys ZwQueryValueKey [0xB9EC8F88]
SSDT BA7CA6C4 ZwReplaceKey
SSDT BA7CA6BF ZwRestoreKey
SSDT BA7CA6B0 ZwSetValueKey
SSDT BA7CA697 ZwTerminateProcess
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x83 ? 8A54BBF8
INT 0x83 ? 8A54BBF8
INT 0x83 ? 8A19BF00
INT 0x84 ? 8A19BF00
INT 0x94 ? 8A19BF00
INT 0xA4 ? 8A19BF00
INT 0xA4 ? 8A19BF00
INT 0xA4 ? 8A19BF00
INT 0xA4 ? 8A19BF00
INT 0xB4 ? 8A19BF00
---- Kernel code sections - GMER 1.0.15 ----
? spgf.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B896E62C 5 Bytes JMP 8A19B4E0
? System32\Drivers\aglz5uow.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EAC040] spgf.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EAC13C] spgf.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EAC0BE] spgf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EAC7FC] spgf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EAC6D2] spgf.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EBBD92] spgf.sys
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA] [00417CDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW] [00417D55] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!DialogBoxParamW] [00417EDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!MessageBoxW] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!CreateWindowExA] [00417CDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowPos] [00417E75] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\CRYPT32.dll [USER32.dll!MessageBoxW] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\CRYPT32.dll [USER32.dll!MessageBoxA] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamA] [00417EDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamW] [00417EDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA] [00417CDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW] [00417D55] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxA] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxW] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectA] [00417ED9] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectW] [00417ED9] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos] [00417E75] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW] [00417D55] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!DialogBoxParamW] [00417EDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos] [00417E75] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxW] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxA] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxIndirectW] [00417ED9] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!SetWindowPos] [00417E75] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!DialogBoxParamW] [00417EDF] C:\WINDOWS\msa.exe
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A54A1F8
Device \Driver\usbuhci \Device\USBPDO-0 8A02B1F8
Device \Driver\PCI_PNP3020 \Device\00000044 spgf.sys
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A4DC1F8
Device \Driver\usbuhci \Device\USBPDO-1 8A02B1F8
Device \Driver\usbuhci \Device\USBPDO-2 8A02B1F8
Device \Driver\usbehci \Device\USBPDO-3 8A28C500
Device \Driver\usbuhci \Device\USBPDO-4 8A02B1F8
Device \Driver\usbuhci \Device\USBPDO-5 8A02B1F8
Device \Driver\usbuhci \Device\USBPDO-6 8A02B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A54C1F8
Device \Driver\usbehci \Device\USBPDO-7 8A28C500
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A54C1F8
Device \Driver\Cdrom \Device\CdRom0 8A190500
Device \Driver\Cdrom \Device\CdRom1 8A190500
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort1 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort2 8A54B1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort3 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort4 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort5 8A54B1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A181500
Device \Driver\NetBT \Device\NetbiosSmb 8A181500
Device \Driver\usbuhci \Device\USBFDO-0 8A02B1F8
Device \Driver\usbuhci \Device\USBFDO-1 8A02B1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A03B500
Device \Driver\usbuhci \Device\USBFDO-2 8A02B1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A03B500
Device \Driver\usbehci \Device\USBFDO-3 8A28C500
Device \Driver\sptd \Device\1099033020 spgf.sys
Device \Driver\usbuhci \Device\USBFDO-4 8A02B1F8
Device \Driver\Ftdisk \Device\FtControl 8A54C1F8
Device \Driver\usbuhci \Device\USBFDO-5 8A02B1F8
Device \Driver\usbuhci \Device\USBFDO-6 8A02B1F8
Device \Driver\usbehci \Device\USBFDO-7 8A28C500
Device \Driver\aglz5uow \Device\Scsi\aglz5uow1Port6Path0Target0Lun0 8A2821F8
Device \Driver\aglz5uow \Device\Scsi\aglz5uow1 8A2821F8
Device \FileSystem\Cdfs \Cdfs 8A17B500
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] dclink <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** )
|
|
02.08.2009, 23:10
| #5 |
| | Cognac Trojaner kann nicht entfernt werden Der zweite Teil von GMER: Code:
ATTFilter ---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@DisplayName Microsoft Driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Description Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@DisplayName Boot Manager
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1726502437
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1327979651
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x65 0x0B 0x62 0xB4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF2 0x5D 0x67 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x90 0xBB 0x04 0x3B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0xEF 0xEC 0xF7 ...
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@DisplayName Microsoft Driver
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Description Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@DisplayName Boot Manager
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x65 0x0B 0x62 0xB4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF2 0x5D 0x67 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x90 0xBB 0x04 0x3B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0xEF 0xEC 0xF7 ...
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter 08/02/09 23:26:24 [Info]: BlackLight Engine 2.2.1092 initialized
08/02/09 23:26:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/02/09 23:26:24 [Note]: 7019 4
08/02/09 23:26:24 [Note]: 7005 0
08/02/09 23:26:26 [Note]: 7006 0
08/02/09 23:26:26 [Note]: 7011 2948
08/02/09 23:26:26 [Note]: 7035 0
08/02/09 23:26:26 [Note]: 7026 0
08/02/09 23:26:26 [Note]: 7026 0
08/02/09 23:26:27 [Note]: FSRAW library version 1.7.1024
08/02/09 23:34:22 [Note]: 2000 1012
08/02/09 23:51:14 [Note]: 7007 0
|
|
10.08.2009, 10:45
| #6 | |
| /// Helfer-Team | Cognac Trojaner kann nicht entfernt werden hi Wichtig!: Zitat:
Geh auf den Reiter "Services". Dort sollte das gefundene Rootkit dann rot erscheinen. Klicke mit der rechten Maustaste drauf und wähle "delete". Falls eine Sicherheitsabfrage kommt, bejahe sie bitte ► 'Anleitung' visuell 2. Dann lass` "gmer" erneut scannen Scanner wieder einschalten, bevor Du ins Netz gehst! und poste den Bericht. |
|
14.08.2009, 21:19
| #7 |
| | Cognac Trojaner kann nicht entfernt werdenCode:
ATTFilter GMER 1.0.15.15011 [4nzgrnr8.exe] - http://www.gmer.net
Rootkit scan 2009-08-14 22:19:10
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT BA6946B6 ZwCreateKey
SSDT BA6946AC ZwCreateThread
SSDT BA6946BB ZwDeleteKey
SSDT BA6946C5 ZwDeleteValueKey
SSDT spau.sys ZwEnumerateKey [0xB9EC8CA2]
SSDT spau.sys ZwEnumerateValueKey [0xB9EC9030]
SSDT BA6946CA ZwLoadKey
SSDT spau.sys ZwOpenKey [0xB9EAB0C0]
SSDT BA694698 ZwOpenProcess
SSDT BA69469D ZwOpenThread
SSDT spau.sys ZwQueryKey [0xB9EC9108]
SSDT spau.sys ZwQueryValueKey [0xB9EC8F88]
SSDT BA6946D4 ZwReplaceKey
SSDT BA6946CF ZwRestoreKey
SSDT BA6946C0 ZwSetValueKey
SSDT BA6946A7 ZwTerminateProcess
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x83 ? 8A54BBF8
INT 0x83 ? 8A54BBF8
INT 0x83 ? 8A16ABF8
INT 0x84 ? 8A16ABF8
INT 0x94 ? 8A16ABF8
INT 0xA4 ? 8A16ABF8
INT 0xA4 ? 8A16ABF8
INT 0xA4 ? 8A16ABF8
INT 0xA4 ? 8A16ABF8
INT 0xB4 ? 8A16ABF8
---- Kernel code sections - GMER 1.0.15 ----
? spau.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B8FE362C 5 Bytes JMP 8A16A1D8
? System32\Drivers\aps6fxr7.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EAC040] spau.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EAC13C] spau.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EAC0BE] spau.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EAC7FC] spau.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EAC6D2] spau.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EBBD92] spau.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A54A1F8
Device \Driver\PCI_PNP5298 \Device\00000044 spau.sys
Device \Driver\usbuhci \Device\USBPDO-0 8A1661F8
Device \Driver\usbuhci \Device\USBPDO-1 8A1661F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A4DC1F8
Device \Driver\usbuhci \Device\USBPDO-2 8A1661F8
Device \Driver\usbehci \Device\USBPDO-3 8A1181F8
Device \Driver\usbuhci \Device\USBPDO-4 8A1661F8
Device \Driver\usbuhci \Device\USBPDO-5 8A1661F8
Device \Driver\usbuhci \Device\USBPDO-6 8A1661F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A54C1F8
Device \Driver\usbehci \Device\USBPDO-7 8A1181F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A54C1F8
Device \Driver\Cdrom \Device\CdRom0 8A04E1F8
Device \Driver\Cdrom \Device\CdRom1 8A04E1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort1 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort2 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort3 8A54B1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort4 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort5 8A54B1F8
Device \Driver\sptd \Device\3442595298 spau.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A1EB368
Device \Driver\NetBT \Device\NetbiosSmb 8A1EB368
Device \Driver\usbuhci \Device\USBFDO-0 8A1661F8
Device \Driver\usbuhci \Device\USBFDO-1 8A1661F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A13A500
Device \Driver\usbuhci \Device\USBFDO-2 8A1661F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A13A500
Device \Driver\usbehci \Device\USBFDO-3 8A1181F8
Device \Driver\Ftdisk \Device\FtControl 8A54C1F8
Device \Driver\usbuhci \Device\USBFDO-4 8A1661F8
Device \Driver\usbuhci \Device\USBFDO-5 8A1661F8
Device \Driver\usbuhci \Device\USBFDO-6 8A1661F8
Device \Driver\usbehci \Device\USBFDO-7 8A1181F8
Device \Driver\aps6fxr7 \Device\Scsi\aps6fxr71 8A0231F8
Device \Driver\aps6fxr7 \Device\Scsi\aps6fxr71Port6Path0Target0Lun0 8A0231F8
Device \FileSystem\Cdfs \Cdfs 8A199500
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] dclink <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] irrnqych <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@DisplayName Microsoft Driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Description Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@DisplayName Boot Manager
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1726502437
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1327979651
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x65 0x0B 0x62 0xB4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF2 0x5D 0x67 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x90 0xBB 0x04 0x3B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x94 0xAE 0xB5 0xF0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@DisplayName Microsoft Driver
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Start 4
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Description Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@DisplayName Boot Manager
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Start 4
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x65 0x0B 0x62 0xB4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF2 0x5D 0x67 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x90 0xBB 0x04 0x3B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x94 0xAE 0xB5 0xF0 ...
---- EOF - GMER 1.0.15 ----
|
|
21.08.2009, 18:30
| #8 |
| /// Helfer-Team | Cognac Trojaner kann nicht entfernt werden hi habe dich übersehen...sorry  melde Dich bitte wenn Du noch Hilfe benötigst! gruß Coverflow |
|
21.08.2009, 22:29
| #9 |
| | Cognac Trojaner kann nicht entfernt werden Ja hallo! Ich habe ja jetzt alles gepostet und ich hätte erwartet das du mir sagen kannst was ich zu tun habe um ihn los zu werden  (außer natürlich es ist bereit geschehen ^^) Jedenfalls schon mal danke Lg Haustia |
|
| Themen zu Cognac Trojaner kann nicht entfernt werden |
| adobe, antivir, antivir guard, asus, avira, bho, bonjour, desktop, einstellungen, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, internet explorer, kann nicht entfernt werden, löschen, microsoft, mozilla, ordner, plug-in, programme, software, system, trojaner, windows, windows xp, öffnet |
Hybrid-Darstellung
