Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.07.2009, 19:47   #1
LiLaLukas
 
rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/" - Standard

rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"



Hallo,
ich habe ein ähnliches Problem wie donny711 in seinem Thema
http://www.trojaner-board.de/75481-v...ystemroot.html

Auch ich werde bei Googleergebnissen zwischendurch auf andere Seiten weitergeleitet.

Der Security Taskmanager zeigt mir eine ähnliche Datei an. Bei mir heißt sie \\?\globalroot\systemroot\system32\geyekrlwjcjslj.dll

Malwarebytes' Anti-Malware hat bei mir einige Dateien gefunden. Leider habe ich einen Log verschlampt.
Die dabei gelöschten Dateien und die Gründe waren so ähnlich wie die folgenden. (Nero und Irc waren betroffen)
c:\programme\gemeinsame dateien\Nero\Lib\nerocheck.exe (Trojan.GamesThief)
Gamers.IRC\backup\bin\dll\dmu.dll (Trojan.Bot)

Hier ist noch eine Logdatei, die später erstellt wurde. Dabei weiß ich nicht ob die Angabe Keylogger bei den Cryptload-dateien daher kommt, dass sie glaube ich zum Router reconnecten benutzt wurden.

Alt 22.07.2009, 19:48   #2
LiLaLukas
 
rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/" - Standard

rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"



Zitat:
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2467
Windows 5.1.2600 Service Pack 3

20.07.2009 17:24:10
mbam-log-2009-07-20 (17-24-10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|K:\|)
Durchsuchte Objekte: 412874
Laufzeit: 29 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\cryptload_de\router\fritz!box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully.
c:\programme\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> Quarantined and deleted successfully.
c:\programme\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> Quarantined and deleted successfully.
e:\ATINV\diverse programme\cryptload\router\fritz!box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully.
e:\ATINV\diverse programme\cryptload_de\router\fritz!box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully.
e:\ATINV\diverse programme\flashget\fgf160.exe (Adware.Cydoor) -> Quarantined and deleted successfully.
e:\ATINV\diverse programme\MSsoft\XPKey.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
e:\ATINV\spielezeugs\battlefield+mods\Crack\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
RSIT hat bei mir folgende Logs erstellt:
Zitat:
info.txt logfile of random's system information tool 1.06 2009-07-20 18:50:31

======Uninstall list======

-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.5 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
Age of Empires III - The Asian Dynasties-->C:\Programme\InstallShield Installation Information\{C43C1415-3DFC-4089-9A32-0BECF28A6046}\setup.exe -runfromtemp -l0x0409
Age of Empires III - The WarChiefs-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{1C08A24C-B168-407E-A826-68FAF5F20710}
Age of Empires III-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{7B9CC60A-9B81-46A3-A953-76B6BF9EEC97}
Anno 1701 - Der Fluch des Drachen-->"C:\Programme\InstallShield Installation Information\{905D4F6B-FADC-4CA4-AA41-BD32A2E446CE}\Setup.exe" -runfromtemp -l0x0007 -removeonly
Anno 1701-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A2433A63-5F5D-40E5-B529-9123C2B3E734}\setup.exe" -l0x7 -removeonly
Atheros Communications Inc.(R) AR8121/AR8113 Gigabit/Fast Ethernet Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\Setup.exe" -l0x9 -removeonly
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Azureus-->C:\Programme\Azureus\Uninstall.exe
Battlefield 1942-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}\setup.exe" -l0x9
BattleForge™-->MsiExec.exe /X{4160920F-2C6A-4AAF-81D5-114C850911EE}
BattleForge™-->MsiExec.exe /X{C580908C-B3BA-4C19-BD60-16F02F272201}
Call of Duty(R) - World at War(TM) 1.1 Patch-->C:\Programme\InstallShield Installation Information\{AFAE2B15-89A0-4215-A030-F7B5B478886B}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) - World at War(TM) 1.2 Patch-->C:\Programme\InstallShield Installation Information\{2BF0AE92-C3BC-4112-9066-1546342B1FAE}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) - World at War(TM) 1.3 Patch-->C:\Programme\InstallShield Installation Information\{149464D9-B06F-4505-9968-FD1206F67AD3}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) - World at War(TM) 1.4 Patch-->C:\Programme\InstallShield Installation Information\{9F01A67B-7D67-482F-9D4F-D5980A440FD4}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) - World at War(TM) 1.5 Patch-->C:\Programme\InstallShield Installation Information\{C3DC2DF5-EFAC-4055-9010-31F7C545DD9E}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) - World at War(TM)-->C:\Programme\InstallShield Installation Information\{D80A6A73-E58A-4673-AFF5-F12D7110661F}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch-->C:\Programme\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch-->C:\Programme\InstallShield Installation Information\{931C37FC-594D-43A9-B10F-A2F2B1F03498}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Programme\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0407
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CDDRV_Installer-->MsiExec.exe /I{0C826C5B-B131-423A-A229-C71B3CACCD6A}
Command & Conquer Generals-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{06F80017-8F98-4C94-B868-52358569FC32}
Data Lifeguard Tools-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2C0A655C-61E7-428A-8ED2-23A3D20E7DD2}\Setup.exe"
Die Siedler II - Die nächste Generation-->"D:\Programme\Ubisoft\Funatics\Die Siedler II - Die nächste Generation\uninstall.exe"
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EASEUS Partition Manager 2.0 Home Edition-->"C:\Programme\EASEUS\EASEUS Partition Manager 2.0 Home Edition\unins000.exe"
EPSON-Drucker-Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPU-6 Engine-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{56B83336-FBC1-4C46-8613-90A9E3B440D6}\setup.exe" -l0x7
EXPERTool ATI 4.0-->"C:\Programme\EXPERTool ATI\unins000.exe"
Fraps-->"C:\Programme\Fraps\uninstall.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Gamers.IRC 5.00-->C:\Programme\Gamers.IRC\uninstall.exe
Hamachi 1.0.3.0-->C:\Programme\Hamachi\uninstall.exe
HD Tune 2.55-->"C:\Programme\HD Tune\unins000.exe"
HDD Health v3.3 Beta-->"C:\Programme\HDD Health\unins000.exe"
Heroes of Might and Magic V-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{20071984-5EB1-4881-8EDB-082532ACEC6D}\setup.exe" -l0x7
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Java(TM) 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}
KhalInstallWrapper-->MsiExec.exe /I{3101CB58-3482-4D21-AF1A-7057FC935355}
Last.fm 1.5.4.24567-->"C:\Programme\Last.fm\unins000.exe"
Logitech SetPoint-->"C:\Programme\InstallShield Installation Information\{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}\setup.exe" -runfromtemp -l0x0007 -removeonly
MagicTune3.5_Client-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1C04D433-2EDF-4AFB-B31B-C0B13065092F}\setup.exe" -l0x7
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
marvell 61xx-->C:\Programme\Marvell\61xx\uninst-61xx.exe
Mathcad 14 Help-->MsiExec.exe /I{205ACCD7-5342-4694-91F3-3A99E4FD5AA6}
Mathcad 14 Resource Center-->MsiExec.exe /I{EBD38AE9-D52D-448D-9DB4-4D5F66E1DAFC}
Mathcad 14-->MsiExec.exe /I{E666A69B-A76D-43D5-AF28-4B2150A6EDE2}
MegaCAD 3D Unfold&SF 2009 -->"C:\PROGRA~1\Megatech\MEGACA~1\BACKUP\UNWISE.EXE" /U /R "C:\PROGRA~1\Megatech\MEGACA~1\BACKUP\INST_09.LOG" MegaCAD 3D Unfold&SF 2009
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 German Language Pack-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4AA3D64E-9EC3-4B0F-AB91-5885AC55641F}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{FD052FB9-FE90-4438-B355-15EDC89D8FB1}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Virtual PC 2007-->MsiExec.exe /X{8A7CAA24-7B23-410B-A7C3-F994B0944160}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
mIRC-->"C:\Programme\Gamers.IRC\mirc.exe" -uninstall
Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
MSXML 6.0 Parser (KB927977)-->MsiExec.exe /I{5A710547-B58E-488B-828D-CA9A25A0533C}
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
nLite 1.4.9.1-->"C:\Programme\nLite\unins000.exe"
OpenOffice.org 2.4-->MsiExec.exe /I{43721D86-16D1-46BF-8353-37CD82333BC3}
OpenOffice.org 3.1-->MsiExec.exe /I{99E862CC-6F69-4D39-99AA-DBF71BF3B585}
PunkBuster Services-->C:\WINDOWS\system32\pbsvc.exe -u
QIP 2005 8082-->"C:\Programme\QIP\unins000.exe"
Quake Live Mozilla Plugin-->MsiExec.exe /I{F5C521B6-1AF2-432C-A061-E79E2141A32F}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x7 -removeonly
Security Task Manager 1.7h-->C:\Programme\Security Task Manager\Uninstal.exe "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security Task Manager"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
StarVarsLibs MegaCAD-->C:\PROGRA~1\UNWISE.EXE C:\PROGRA~1\INSTALL.LOG
StarVarsLibs 2003-->C:\PROGRA~1\STARVA~1\UNWISE.EXE C:\PROGRA~1\STARVA~1\INSTALL.LOG
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
TeamSpeak 2 RC2-->C:\Programme\teamspeak2_RC2\unins000.exe
TeamViewer 4-->C:\Programme\TeamViewer\Version4\uninstall.exe
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VLC media player 0.9.8a-->C:\Programme\VideoLAN\VLC\uninstall.exe
VPN Client-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5624C000-B109-11D4-9DB4-00E0290FCAC5}\Setup.exe" -l0x9 VpnUninstall
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe
Wise Registry Cleaner 3 Free 3.6-->"C:\Programme\Wise Registry Cleaner 3\unins000.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
Zombie Badlands-->MsiExec.exe /I{C52AA994-8361-46A0-B461-27BBAC6088EC}
Zombie Mansion-->MsiExec.exe /I{3EDABBE5-3096-4BF7-ADC6-22571F419515}
Zombie Military-->MsiExec.exe /I{5CBD8B74-17EA-4147-A0D1-A2F46B79AAB2}

======Hosts File======

127.0.0.1 w*w.007guard.com
127.0.0.1 *007guard.com
127.0.0.1 *008i.com
127.0.0.1 w*w.008k.com
127.0.0.1 *008k.com
127.0.0.1 w*w.00hq.com
127.0.0.1 *00hq.com
127.0.0.1 *010402.com
127.0.0.1 w*w.032439.com
127.0.0.1 *032439.com

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: LUKAS
Event Code: 7035
Message: Der Steuerbefehl "beenden" wurde erfolgreich an den Dienst "PnkBstrB" gesendet.

Record Number: 15874
Source Name: Service Control Manager
Time Written: 20090624010341.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: LUKAS
Event Code: 7036
Message: Dienst "PnkBstrB" befindet sich jetzt im Status "Beendet".

Record Number: 15873
Source Name: Service Control Manager
Time Written: 20090624010341.000000+120
Event Type: Informationen
User:

Computer Name: LUKAS
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "PnkBstrK" gesendet.

Record Number: 15872
Source Name: Service Control Manager
Time Written: 20090624005613.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: LUKAS
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "PnkBstrB" gesendet.

Record Number: 15871
Source Name: Service Control Manager
Time Written: 20090624005607.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: LUKAS
Event Code: 7036
Message: Dienst "PnkBstrB" befindet sich jetzt im Status "Ausgeführt".

Record Number: 15870
Source Name: Service Control Manager
Time Written: 20090624005607.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: LUKAS
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1069
Source Name: LoadPerf
Time Written: 20090216005343.000000+060
Event Type: Informationen
User:

Computer Name: LUKAS
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 1068
Source Name: LoadPerf
Time Written: 20090216005343.000000+060
Event Type: Informationen
User:

Computer Name: LUKAS
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 1067
Source Name: SecurityCenter
Time Written: 20090216004950.000000+060
Event Type: Informationen
User:

Computer Name: LUKAS
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 1066
Source Name: Avira AntiVir
Time Written: 20090216004948.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: LUKAS
Event Code: 105
Message: The service was started.

Record Number: 1065
Source Name: ATI Smart
Time Written: 20090216004925.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=2
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\Gemeinsame Dateien\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=1706
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%

-----------------EOF-----------------
__________________


Alt 22.07.2009, 19:52   #3
LiLaLukas
 
rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/" - Standard

rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"



zweiter RSIT Log

Zitat:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Alice at 2009-07-22 18:46:29
Microsoft Windows XP Professional Service Pack 3
System drive C: has 28 GB (56%) free of 50 GB
Total RAM: 3327 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:46:35, on 22.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Visioneer OneTouch\OneTouchMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\EXPERTool ATI\TBPanel.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\QIP\qip.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Last.fm\LastFM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox1.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\***\Desktop\Alice.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OneTouch Monitor] C:\Programme\Visioneer OneTouch\OneTouchMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gainward] C:\Programme\EXPERTool ATI\TBPanel.exe /A
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [PPWebCap] C:\PROGRA~1\ScanSoft\PAPERP~1\PPWebCap.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230383027484
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 6142 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-19 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-19 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-08-29 61440]
"Kernel and Hardware Abstraction Layer"=C:\WINDOWS\KHALMNPR.EXE [2008-10-10 69632]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-07-03 16876032]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-19 57344]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-19 148888]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"OneTouch Monitor"=C:\Programme\Visioneer OneTouch\OneTouchMon.exe [2000-10-12 73728]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Gainward"=C:\Programme\EXPERTool ATI\TBPanel.exe [2008-07-31 2296360]
"DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2008-04-01 486856]
"Skype"=C:\Programme\Skype\Phone\Skype.exe [2009-05-26 24264488]
"QIP2005"=C:\Programme\QIP\qip.exe [2009-02-12 3276288]
"PPWebCap"=C:\PROGRA~1\ScanSoft\PAPERP~1\PPWebCap.exe [2000-09-06 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-12-01 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LBTWlgn]
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll [2008-11-07 72208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WdfLoadGroup]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"D:\Programme\Anno 1701\Anno1701.exe"="D:\Programme\Anno 1701\Anno1701.exe:*:Enabled:Anno 1701"
"C:\Programme\Electronic Arts\BattleForgeBeta\Bootstrapper.exe"="C:\Programme\Electronic Arts\BattleForgeBeta\Bootstrapper.exe:*:Enabled:BattleForge™ Launcher"
"C:\Programme\Electronic Arts\BattleForgeBeta\BattleForge.exe"="C:\Programme\Electronic Arts\BattleForgeBeta\BattleForge.exe:*:Enabled:BattleForge™"
"D:\Programme\Microsoft Games\Age of Empires III\age3x.exe"="D:\Programme\Microsoft Games\Age of Empires III\age3x.exe:*:Enabled:Age of Empires III - The WarChiefs"
"D:\Programme\Microsoft Games\Age of Empires III\age3y.exe"="D:\Programme\Microsoft Games\Age of Empires III\age3y.exe:*:Enabled:Age of Empires III - The Asian Dynasties"
"D:\Programme\Electronic Arts\BattleForge\Bootstrapper.exe"="D:\Programme\Electronic Arts\BattleForge\Bootstrapper.exe:*:Enabled:BattleForge™ Launcher"
"D:\Programme\Electronic Arts\BattleForge\BattleForge.exe"="D:\Programme\Electronic Arts\BattleForge\BattleForge.exe:*:Enabled:BattleForge™"
"D:\Programme\Anno 1701\Anno1701AddOn.exe"="D:\Programme\Anno 1701\Anno1701AddOn.exe:*:Enabled:Anno 1701 Add-On 01"
"D:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="D:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"D:\Programme\Activision\Call of Duty - World at War\CoDWaW.exe"="D:\Programme\Activision\Call of Duty - World at War\CoDWaW.exe:*:Enabled:Call of Duty(R) - World at War(TM) "
"D:\Programme\Activision\Call of Duty - World at War\CoDWaWmp.exe"="D:\Programme\Activision\Call of Duty - World at War\CoDWaWmp.exe:*:Enabled:Call of Duty(R) - World at War(TM) "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6308eec-d377-11dd-a198-806d6172696f}]
shell\AutoRun\command - G:\.\Bin\ASSETUP.exe


======List of files/folders created in the last 1 months======

2009-07-22 15:24:03 ----D---- C:\Downloads
2009-07-20 23:39:34 ----D---- C:\WINDOWS\APPLOG
2009-07-20 23:39:34 ----A---- C:\WINDOWS\system32\Twain.dll
2009-07-20 23:39:06 ----A---- C:\WINDOWS\calera.ini
2009-07-20 23:39:04 ----A---- C:\WINDOWS\system32\Unidrv.dll
2009-07-20 18:50:11 ----D---- C:\rsit
2009-07-20 17:56:45 ----D---- C:\Programme\CCleaner
2009-07-20 16:51:57 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-07-20 16:51:53 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-20 16:51:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-20 16:03:08 ----D---- C:\Programme\Avira
2009-07-20 16:03:08 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-07-20 15:50:30 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Uniblue
2009-07-20 11:18:30 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-20 10:25:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-07-20 10:25:38 ----D---- C:\Programme\Security Task Manager
2009-07-19 18:04:30 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org
2009-07-19 18:03:44 ----D---- C:\Programme\JRE
2009-07-19 18:03:42 ----D---- C:\Programme\OpenOffice.org 3
2009-07-08 21:00:31 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ubisoft
2009-07-08 20:30:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tages
2009-07-08 20:29:48 ----A---- C:\WINDOWS\system32\D3DX9_41.dll
2009-07-08 20:29:48 ----A---- C:\WINDOWS\system32\d3dx10_41.dll
2009-07-08 20:29:48 ----A---- C:\WINDOWS\system32\D3DCompiler_41.dll
2009-07-08 20:29:47 ----A---- C:\WINDOWS\system32\XAudio2_4.dll
2009-07-08 20:29:47 ----A---- C:\WINDOWS\system32\XAPOFX1_3.dll
2009-07-08 20:29:47 ----A---- C:\WINDOWS\system32\xactengine3_4.dll
2009-07-08 20:29:47 ----A---- C:\WINDOWS\system32\X3DAudio1_6.dll

======List of files/folders modified in the last 1 months======

2009-07-22 18:43:48 ----D---- C:\Temp
2009-07-22 18:43:48 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2009-07-22 18:12:14 ----D---- C:\WINDOWS\Temp
2009-07-22 18:12:14 ----D---- C:\WINDOWS\system32
2009-07-22 18:05:18 ----D---- C:\WINDOWS\Prefetch
2009-07-22 18:01:19 ----D---- C:\WINDOWS\Minidump
2009-07-22 18:01:19 ----D---- C:\WINDOWS
2009-07-22 17:50:59 ----D---- C:\Programme\Mozilla Firefox
2009-07-22 17:24:33 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-22 17:24:18 ----A---- C:\WINDOWS\winamp.ini
2009-07-22 16:02:17 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2009-07-22 15:39:23 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-22 14:02:47 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-22 13:20:18 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-07-22 01:48:41 ----D---- C:\Dokumente und Einstellungen
2009-07-21 01:46:58 ----D---- C:\ScanSoft-Dokumente
2009-07-20 23:48:23 ----RD---- C:\Programme
2009-07-20 23:48:23 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-20 23:42:44 ----D---- C:\Programme\Visioneer OneTouch
2009-07-20 23:42:43 ----A---- C:\WINDOWS\MAXLINK.INI
2009-07-20 23:39:45 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-20 23:39:34 ----HD---- C:\WINDOWS\inf
2009-07-20 23:39:34 ----D---- C:\WINDOWS\system32\drivers
2009-07-20 23:39:34 ----D---- C:\WINDOWS\Help
2009-07-20 23:39:06 ----D---- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2009-07-20 23:39:06 ----A---- C:\WINDOWS\win.ini
2009-07-20 18:01:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-20 18:00:59 ----D---- C:\WINDOWS\Debug
2009-07-20 15:39:00 ----SHD---- C:\WINDOWS\Installer
2009-07-20 15:39:00 ----D---- C:\WINDOWS\WinSxS
2009-07-19 18:03:50 ----RSD---- C:\WINDOWS\Fonts
2009-07-19 18:03:26 ----A---- C:\WINDOWS\system32\javaws.exe
2009-07-19 18:03:26 ----A---- C:\WINDOWS\system32\javaw.exe
2009-07-19 18:03:26 ----A---- C:\WINDOWS\system32\java.exe
2009-07-19 18:03:26 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-07-19 17:46:01 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2009-07-19 17:35:03 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus
2009-07-19 14:26:41 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi
2009-07-19 05:16:31 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2009-07-19 04:25:45 ----D---- C:\Programme\Gamers.IRC
2009-07-17 23:34:03 ----D---- C:\Programme\Fraps
2009-07-17 15:36:46 ----D---- C:\DVDVideoSoft
2009-07-12 01:26:45 ----D---- C:\Programme\cryptload_DE
2009-07-08 20:29:49 ----D---- C:\WINDOWS\system32\DirectX
2009-07-08 20:29:32 ----RSD---- C:\WINDOWS\assembly
2009-07-08 20:24:57 ----HD---- C:\Programme\InstallShield Installation Information
2009-06-26 18:53:29 ----A---- C:\WINDOWS\system32\PnkBstrA.exe
2009-06-26 18:53:29 ----A---- C:\WINDOWS\system32\pbsvc.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2007-12-17 12400]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 vmm;Virtual Machine Monitor; \??\C:\WINDOWS\system32\Drivers\vmm.sys []
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2009-07-08 281760]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 CVPNDRVA;Cisco Systems IPsec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 LBeepKE;LBeepKE; C:\WINDOWS\System32\Drivers\LBeepKE.sys [2008-09-26 10384]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2009-07-08 25888]
R2 ppsio2;PPDevice; C:\WINDOWS\system32\drivers\ppsio2.sys [1999-06-30 23200]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-12-02 3452928]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2005-06-29 110080]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-01-08 25280]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-07-03 4745216]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller; C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-02-02 36864]
R3 L8042Kbd;Logitech SetPoint Keyboard Driver; C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys [2008-09-26 20240]
R3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys [2008-09-26 35472]
R3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys [2008-09-26 37392]
R3 LUsbFilt;Logitech SetPoint KMDF USB Filter; C:\WINDOWS\System32\Drivers\LUsbFilt.Sys [2008-09-26 28816]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 VPCNetS2;Virtual Machine Network Services Driver; C:\WINDOWS\system32\DRIVERS\VMNetSrv.sys [2007-01-29 59280]
R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 a2s3n8mm;a2s3n8mm; C:\WINDOWS\system32\drivers\a2s3n8mm.sys []
S3 cpuz131;cpuz131; \??\C:\Temp\cpuz131\cpuz_x32.sys []
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2005-05-17 5315]
S3 epmntdrv;epmntdrv; \??\C:\WINDOWS\system32\epmntdrv.sys []
S3 EuGdiDrv;EuGdiDrv; \??\C:\WINDOWS\system32\EuGdiDrv.sys []
S3 MagicTune;MagicTune; C:\WINDOWS\system32\drivers\MTiCtwl.sys [2005-07-11 12569]
S3 pmxscan;Visioneer USB Kernel; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []


======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-05-11 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-12-01 598016]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-06-26 75064]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-07-19 189184]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2008-12-01 593920]
S2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2006-04-20 1520688]
S2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-19 152984]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 LBTServ;Logitech Bluetooth Service; C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe [2008-11-07 121360]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
__________________

Alt 22.07.2009, 19:54   #4
LiLaLukas
 
rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/" - Standard

rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"



Den Fehler, dass ich Antivir nicht benutzen konnte, hatte ich gestern kurzzeitig nachdem ich es neu installiert und Updates installiert hatte. Im Abgesicherten Modus konnte ich es starten und eine Datei mit folgendem Virus wurd entfernt:
SPR/Tool.NetCat.B

Danach konnte ich Antivir wieder benutzen.

Das Avira Antirootkit Tool hat bei mir 13 Sachen gefunden und folgenden Log erstellt. Ich konnte die gefundenen Dateien nicht unter Quarantäne stellen. Die Felder waren hellgrau dargestellt.

Zitat:
Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
- Scan started Mittwoch, 22. Juli 2009 - 18:04:47
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 48.81 GB
- Working disk free size : 27.51 GB (56 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrtyalendi\main
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrtyalendi\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrtyalendi -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrtyalendi -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrtyalendi -> group
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrtyalendi -> imagepath
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\geyekrtyalendi\main
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\geyekrtyalendi\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\geyekrtyalendi -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\geyekrtyalendi -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\geyekrtyalendi -> group
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\geyekrtyalendi -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters -> symboliclinkvalue

--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 13/411951
Processes: 0/43
Scan time: 00:00:34
--------------------------------------------------------------------------------------------------------
Active processes:
- ymuvhfkt.exe (PID 1288) (Avira AntiRootkit Tool)
- mbam.exe (PID 1892)
- System (PID 4)
- smss.exe (PID 1372)
- csrss.exe (PID 1500)
- winlogon.exe (PID 1532)
- services.exe (PID 1580)
- lsass.exe (PID 1592)
- ati2evxx.exe (PID 1812)
- svchost.exe (PID 1828)
- svchost.exe (PID 1964)
- svchost.exe (PID 576)
- svchost.exe (PID 820)
- svchost.exe (PID 996)
- ati2evxx.exe (PID 1048)
- spoolsv.exe (PID 1272)
- sched.exe (PID 1448)
- explorer.exe (PID 352)
- svchost.exe (PID 1916)
- RTHDCPL.exe (PID 2016)
- MOM.exe (PID 132)
- jusched.exe (PID 196)
- avgnt.exe (PID 192)
- OneTouchMon.exe (PID 264)
- ctfmon.exe (PID 312)
- TBPANEL.exe (PID 344)
- daemon.exe (PID 368)
- Skype.exe (PID 380)
- qip.exe (PID 444)
- SetPoint.exe (PID 604)
- KHALMNPR.exe (PID 756)
- CCC.exe (PID 924)
- skypePM.exe (PID 2708)
- avguard.exe (PID 3580)
- PnkBstrA.exe (PID 3760)
- PnkBstrB.exe (PID 4028)
- svchost.exe (PID 2036)
- alg.exe (PID 1236)
- LastFM.exe (PID 2776)
- wscntfy.exe (PID 1340)
- winamp.exe (PID 1328)
- firefox1.exe (PID 3128)
- avirarkd.exe (PID 1164)
========================================================================================================
- Scan finished Mittwoch, 22. Juli 2009 - 18:05:22
========================================================================================================
Ich würde gerne wissen ob sich noch lohnt etwas zu machen oder ob ich das System neu aufsetzen soll. Ich kann mit den Logs leider nicht viel anfangen, deshalb schreibe ich euch.
Danke im vorraus,
mfg, Lukas

Alt 22.07.2009, 20:42   #5
Angel21
 
rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/" - Standard

rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"



Hallo,

ich denke danach darf und wird dir keiner mehr so recht helfen wollen

Zitat:
e:\ATINV\spielezeugs\battlefield+mods\Crack\Keygen .exe (Trojan.Agent) -> Quarantined and deleted successfully.
Schau dir mal das Video an: YouTube - Effects of crack programs and keygens on your PC

Danach gehe mal hier hin: http://www.trojaner-board.de/51262-a...sicherung.html

Wir helfen dem User durch die Infektion eines Cracks oder Keygens nicht aus zwei Punkten geraus:
1. um den User die Gefahren der verseuchten Keygens, Cracks klar zu machen.
2. so als eine Art "Denkzettel" es besser nicht mehr zu tun.

Bei der Datensicherung stecke dein externes Speichermedium IMMER per SHIFT an.
Wenn das System neuaufgesetzt ist ebenso und einen Antivir Scanner über Deine datein drüberschauen lassen.

__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Antwort

Themen zu rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"
anti-malware, backup, datei, dateien, erstellt, folge, folgende, gelöschten, irc, keylogger, lib, log, logdatei, nero, problem, programme, rootkit, rootkit?, router, security, seite, seiten, system32, taskmanager, trojan.gamesthief, virus, ähnliches



Ähnliche Themen: rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"


  1. Link Klick öffnet zunächst eine Link Fremde Seite " Casino Werbung " " Siele Werbung " "Erotik Seiten " oder ähnliches!
    Plagegeister aller Art und deren Bekämpfung - 26.08.2015 (17)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Herzlichen Dank "Schrauber" - "Problem mit der Gruppenrichtlinie" blockiert" gelöst
    Lob, Kritik und Wünsche - 11.12.2014 (0)
  4. Drathlosnetzwerkadapter seit letzter Zeit "im Arsch". Problembehandlung "behebt" Problem dann immer?
    Netzwerk und Hardware - 18.09.2014 (4)
  5. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  6. Virus - "untergetaucht"? Dann GMER/Rootkit Fund und Systemstreik
    Plagegeister aller Art und deren Bekämpfung - 26.03.2012 (3)
  7. Trojan.Generic.2913791 in <System>=>globalroot\systemroot\system32\H8SRTumybfdopyx.dl
    Plagegeister aller Art und deren Bekämpfung - 07.01.2010 (1)
  8. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  9. globalroot/systemroot/system32/gasvkyviextpqs.dll
    Plagegeister aller Art und deren Bekämpfung - 07.10.2009 (37)
  10. globalroot\systemroot\system32\SKYNETueityvjt.dll
    Plagegeister aller Art und deren Bekämpfung - 07.09.2009 (28)
  11. \\?\globalroot\systemroot\system32\... infos nötig
    Diskussionsforum - 07.09.2009 (4)
  12. Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll
    Plagegeister aller Art und deren Bekämpfung - 24.08.2009 (17)
  13. virus in //?/globalroot/systemroot/
    Log-Analyse und Auswertung - 25.07.2009 (18)
  14. globalroot/systemroot/system32/SKYNETvrdltpu.dll ist das ein Virus?
    Log-Analyse und Auswertung - 12.07.2009 (1)
  15. Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter!
    Plagegeister aller Art und deren Bekämpfung - 05.02.2009 (30)
  16. Netzwerkteil und ähnliches "sehen"
    Netzwerk und Hardware - 26.10.2008 (3)
  17. "idd5F5.tmp.exe" und ähnliches! bitte helft mir!
    Log-Analyse und Auswertung - 14.10.2006 (19)

Zum Thema rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/" - Hallo, ich habe ein ähnliches Problem wie donny711 in seinem Thema http://www.trojaner-board.de/75481-v...ystemroot.html Auch ich werde bei Googleergebnissen zwischendurch auf andere Seiten weitergeleitet. Der Security Taskmanager zeigt mir eine ähnliche Datei - rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"...
Archiv
Du betrachtest: rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.