Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: win32.trojandropper.joiner und win32.trojanproxy.ranky

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.07.2009, 08:55   #1
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Cool

win32.trojandropper.joiner und win32.trojanproxy.ranky



Leider hab ich wohl ein paar kleinere (oder auch größere?) Probleme mit kleinen Schmarotzern. Erkannt hat er mir win32.trojanproxy.ranky schon vor einigen Wochen über adaware. hab eben entdeckt das ihr davon wohl gar nicht begeistert seid und werd mich im laufe des tages um löschung kümmern. die tage dachte ich mir dann mal, nachdem mein firefox plötzlich beim mail löschen neue tabs öffnete, mein onlinebanking nicht mehr reagierte und der rechner in meinem gefühl immer langsamer wurde das ich wohl doch noch was drauf hab und mich mal intensiver damit auseinander setzen sollte.

gelöscht bzw in quarantäne hat er mir beide trojaner geworfen wobei ich jetzt im nachhinein nicht mehr sagen könnte welches programm/schritt dazu geführt hat. euer verlinktes super anti spyware meldet aktuell nichts ausser ein paar cookies. der rechner wird seit jeher brav mit CCleaner und händisch bereinigt und defragmentiert. fürs internet nutze ich ausschließlich firefox... die tage hab ich fürs mail lesen dann opera ausprobiert nachdem firefox mich so geärgert hat. achja... und mein virenproggi mcafee hat den quatsch nicht mal entdeckt

Code:
ATTFilter
Betriebssystemname	Microsoft Windows XP Professional
Version	5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller	Microsoft Corporation
Systemname	COMPUTER-801
Systemhersteller	System manufacturer
Systemmodell	System Product Name
Systemtyp	X86-basierter PC
Prozessor	x86 Family 16 Model 2 Stepping 3 AuthenticAMD ~2606 Mhz
BIOS-Version/-Datum	American Megatrends Inc. 0306, 27.08.2008
SMBIOS-Version	2.5
Windows-Verzeichnis	C:\WINDOWS
Systemverzeichnis	C:\WINDOWS\system32
Startgerät	\Device\HarddiskVolume1
Gebietsschema	Deutschland
Hardwareabstraktionsebene	Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername	COMPUTER-801\User
Zeitzone	Westeuropäische Normalzeit
Gesamter realer Speicher	4.096,00 MB
Verfügbarer realer Speicher	2,52 GB
Gesamter virtueller Speicher	2,00 GB
Verfügbarer virtueller Speicher	1,96 GB
Größe der Auslagerungsdatei	7,09 GB
Auslagerungsdatei	C:\pagefile.sys
         

und hier noch hijack this:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:15:03, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Belkin\F1U201.401\usbshare.exe
C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\MSM\McSmtFwk.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.search.yahoo.com/search?fr=mcafee&p=%s
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F1U201.401.lnk = ?
O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ?
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8300 bytes
         

ich hoffe ich hab jetzt nix vergessen.
und danke schonmal fürs ansehen

Alt 30.07.2009, 12:31   #2
Larusso
/// Selecta Jahrusso
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
Code:
ATTFilter
deine Logfile
         
schritt 1

Wende bitte Malwarebytes nach Anleitung an.


schritt 2
  • Lade Random's System Information Tool (RSIT) herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt


schritt 3
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!
__________________

__________________

Alt 30.07.2009, 14:12   #3
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



so aye aye sir... teil 1 und 2 sind fertig... teil 3 folgt gleich

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2529
Windows 5.1.2600 Service Pack 3

30.07.2009 14:55:33
mbam-log-2009-07-30 (14-55-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 197272
Laufzeit: 47 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by User at 2009-07-30 15:00:20
Microsoft Windows XP Professional Service Pack 3
System drive C: has 17 GB (34%) free of 50 GB
Total RAM: 3327 MB (82% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:27, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Belkin\F1U201.401\usbshare.exe
C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Dokumente und Einstellungen\User\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\User.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F1U201.401.lnk = ?
O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ?
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7641 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\McDefragTask.job
C:\WINDOWS\tasks\McQcTask.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}]
McAfee Phishing Filter - c:\PROGRA~1\mcafee\msk\mskapbho.dll [2009-01-09 246800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
scriptproxy - C:\Programme\McAfee\VirusScan\scriptsn.dll [2009-03-25 62784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}]
McAfee SiteAdvisor BHO - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-02-13 150032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - McAfee SiteAdvisor Toolbar - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-02-13 150032]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mcagent_exe"=C:\Programme\McAfee.com\Agent\mcagent.exe [2009-01-08 645328]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-06-12 17887232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe [2009-06-29 520024]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
C:\WINDOWS\ALCMTR.EXE [2009-03-02 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2009-05-11 24064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2004-09-13 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\Nero\Nero 7\InCD\InCD.exe [2007-11-26 1057064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
C:\Programme\Microsoft IntelliPoint\ipoint.exe [2006-06-16 568096]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itype]
C:\Programme\Microsoft IntelliType Pro\itype.exe [2006-06-16 555816]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2009-06-17 2363392]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2007-03-01 153136]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2009-02-26 2376992]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe [2009-05-26 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe [2007-11-26 1629480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2009-07-16 25604904]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe /startoptions []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-03-17 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-06-23 1830128]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe [2004-11-04 258048]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~4\Office\OSA9.EXE [1999-04-30 65588]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
F1U201.401.lnk - C:\Programme\Belkin\F1U201.401\usbshare.exe
WL-142 Wireless Network Utility.lnk - C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-03-16 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoRun"=
"NoFolderOptions"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe"="C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Curse\CurseClient.exe"="C:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{60431305-864e-11dd-9e88-002215860d8b}]
shell\AutoRun\command - F:\Programs\ShadowProtectPE\ShadowProtectPE.exe
shell\verb\command - F:\Programs\ShadowProtectPE\ShadowProtectPE.exe


======List of files/folders created in the last 1 months======

2009-07-30 15:00:20 ----D---- C:\rsit
2009-07-30 14:01:01 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
2009-07-30 14:00:55 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-30 14:00:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-30 09:14:50 ----D---- C:\Programme\Trend Micro
2009-07-28 12:27:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-28 12:27:22 ----D---- C:\Programme\SUPERAntiSpyware
2009-07-28 12:27:22 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-28 12:27:04 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-27 13:59:23 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera
2009-07-27 13:59:08 ----D---- C:\Programme\Opera
2009-07-26 21:16:06 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\skypePM
2009-07-26 21:00:14 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Skype
2009-07-26 20:59:16 ----D---- C:\Programme\Gemeinsame Dateien\Skype
2009-07-26 20:59:11 ----RD---- C:\Programme\Skype
2009-07-26 20:59:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-07-24 13:18:38 ----A---- C:\WINDOWS\Iedit_.INI
2009-07-21 09:36:48 ----D---- C:\Programme\QuickTime
2009-07-21 09:36:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-07-21 09:36:33 ----D---- C:\Programme\Apple Software Update
2009-07-21 09:36:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-07-19 14:47:28 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Ulead Systems
2009-07-19 13:07:56 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2009-07-19 13:05:29 ----D---- C:\Programme\Ulead Systems
2009-07-19 13:05:28 ----N---- C:\WINDOWS\system32\ROBOEX32.DLL
2009-07-19 13:05:28 ----N---- C:\WINDOWS\system32\INETWH32.dll
2009-07-19 13:05:26 ----D---- C:\Programme\Gemeinsame Dateien\Ulead Systems
2009-07-18 11:04:55 ----D---- C:\Programme\Engelmann Media
2009-07-18 11:04:55 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Engelmann Media
2009-07-16 09:19:58 ----A---- C:\WINDOWS\system32\iacenc.dll
2009-07-16 09:13:14 ----A---- C:\WINDOWS\IsUn0407.exe
2009-07-15 13:30:35 ----D---- C:\Programme\directx
2009-07-15 13:04:50 ----A---- C:\WINDOWS\system32\d3dx10_41.dll
2009-07-15 13:04:50 ----A---- C:\WINDOWS\system32\D3DCompiler_41.dll
2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\XAudio2_4.dll
2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\XAPOFX1_3.dll
2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\D3DX9_41.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\xactengine3_4.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\X3DAudio1_6.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\d3dx10_40.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\D3DCompiler_40.dll
2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\XAudio2_3.dll
2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\XAPOFX1_2.dll
2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\D3DX9_40.dll
2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\XAPOFX1_1.dll
2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\xactengine3_3.dll
2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\X3DAudio1_5.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\XAudio2_2.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\xactengine3_2.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\d3dx10_39.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\D3DCompiler_39.dll
2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\XAudio2_1.dll
2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\XAPOFX1_0.dll
2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\xactengine3_1.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\X3DAudio1_4.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\d3dx10_38.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\D3DCompiler_38.dll
2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\XAudio2_0.dll
2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\xactengine3_0.dll
2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\D3DX9_38.dll
2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll
2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2009-07-15 13:04:40 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2009-07-15 13:04:40 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\xactengine2_8.dll
2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\X3DAudio1_2.dll
2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2009-07-15 13:04:36 ----A---- C:\WINDOWS\system32\d3dx10_34.dll
2009-07-15 13:04:36 ----A---- C:\WINDOWS\system32\D3DCompiler_34.dll
2009-07-15 13:04:35 ----A---- C:\WINDOWS\system32\d3dx9_34.dll
2009-07-15 13:03:33 ----D---- C:\WINDOWS\Logs
2009-07-15 11:02:59 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-15 11:02:54 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-15 11:01:36 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-15 10:45:02 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-10 13:16:42 ----A---- C:\WINDOWS\system32\HDX4ImageProcessor.dll
         
__________________

Alt 30.07.2009, 14:13   #4
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



hier der rest vom (ich glaub es war log.txt)

Code:
ATTFilter
======List of files/folders modified in the last 1 months======

2009-07-30 15:00:13 ----D---- C:\WINDOWS\Prefetch
2009-07-30 14:59:48 ----D---- C:\WINDOWS\Temp
2009-07-30 14:57:45 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-30 14:06:51 ----D---- C:\WINDOWS\system32
2009-07-30 14:06:51 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-30 14:03:46 ----D---- C:\Programme\Mozilla Firefox
2009-07-30 14:00:57 ----D---- C:\WINDOWS\system32\drivers
2009-07-30 14:00:55 ----RD---- C:\Programme
2009-07-30 09:49:33 ----SHD---- C:\WINDOWS\Installer
2009-07-30 09:49:28 ----D---- C:\Programme\GfK Internet-Monitor 2.0
2009-07-29 20:11:00 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\teamspeak2
2009-07-29 16:08:35 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-29 16:05:24 ----D---- C:\WINDOWS
2009-07-29 12:34:56 ----D---- C:\WINDOWS\inf
2009-07-29 12:34:49 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-29 12:34:47 ----D---- C:\WINDOWS\system32\de-de
2009-07-29 12:34:47 ----D---- C:\Programme\Internet Explorer
2009-07-29 12:34:33 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-29 11:18:34 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla
2009-07-28 15:57:14 ----AH---- C:\boot.ini
2009-07-28 15:57:14 ----A---- C:\WINDOWS\win.ini
2009-07-28 15:57:14 ----A---- C:\WINDOWS\system.ini
2009-07-28 12:27:04 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-25 19:50:24 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Corel
2009-07-19 20:33:20 ----D---- C:\Programme\ICQ6.5
2009-07-19 15:25:34 ----A---- C:\WINDOWS\system32\mshtml.dll
2009-07-19 15:25:30 ----A---- C:\WINDOWS\system32\ieframe.dll
2009-07-19 13:07:45 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-19 13:05:26 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-07-19 13:05:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-07-19 13:05:25 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-07-18 23:06:27 ----D---- C:\Programme\World of Warcraft
2009-07-18 13:06:05 ----D---- C:\Programme\Gemeinsame Dateien\LightScribe
2009-07-15 19:44:21 ----D---- C:\Programme\WinRAR
2009-07-15 14:24:24 ----D---- C:\Programme\Easy CD-DA Extractor 11
2009-07-15 14:24:18 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-15 14:23:02 ----D---- C:\WINDOWS\WinSxS
2009-07-15 14:22:00 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-15 14:19:44 ----D---- C:\Programme\Windows Live
2009-07-15 14:19:24 ----RSD---- C:\WINDOWS\assembly
2009-07-15 14:17:20 ----D---- C:\Programme\XP-Clean Express
2009-07-15 14:16:49 ----AC---- C:\WINDOWS\system32\polynet.dll
2009-07-15 14:15:25 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Move Networks
2009-07-15 13:04:51 ----D---- C:\WINDOWS\system32\DirectX
2009-07-15 11:10:34 ----D---- C:\WINDOWS\Debug
2009-07-10 17:44:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2009-07-10 17:38:48 ----D---- C:\Programme\McAfee
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-04 10:51:44 ----D---- C:\WINDOWS\system32\ReinstallBackups

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2007-12-17 12400]
R1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [2007-11-26 36776]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys [2007-11-26 38440]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 mfehidk;McAfee Inc. mfehidk; C:\WINDOWS\system32\drivers\mfehidk.sys [2009-03-25 214024]
R1 MPFP;MPFP; C:\WINDOWS\System32\Drivers\Mpfp.sys [2008-10-23 120136]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2005-03-01 15781]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-03-16 3597312]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2008-05-20 93696]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-07-15 51120]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-07-15 16496]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-07-15 21744]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-06-16 5095936]
R3 mfeavfk;McAfee Inc. mfeavfk; C:\WINDOWS\system32\drivers\mfeavfk.sys [2009-03-25 79880]
R3 mfebopk;McAfee Inc. mfebopk; C:\WINDOWS\system32\drivers\mfebopk.sys [2009-03-25 35272]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 NuidFltr;NUID filter driver; C:\WINDOWS\system32\DRIVERS\NuidFltr.sys [2009-05-09 14736]
R3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2006-06-02 21760]
R3 sitwl142;Sitecom WL-142 Driver; C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [2005-03-01 344032]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 Wdf01000;Kernel Mode Driver Frameworks service; C:\WINDOWS\System32\Drivers\wdf01000.sys [2008-03-27 503008]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [2007-11-26 118952]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 mferkdk;McAfee Inc. mferkdk; C:\WINDOWS\system32\drivers\mferkdk.sys [2009-03-25 34216]
S3 mfesmfk;McAfee Inc. mfesmfk; C:\WINDOWS\system32\drivers\mfesmfk.sys [2009-03-25 40552]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2009-02-09 17664]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-02-09 22016]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2009-03-19 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic; C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2009-03-19 8320]
S3 optousb;OPTO ELECTRONICS optousb; C:\WINDOWS\system32\DRIVERS\optousb.sys [2008-04-04 18432]
S3 optovcm;OPTO ELECTRONICS optovcm; C:\WINDOWS\system32\DRIVERS\optovcm.sys [2008-04-04 26368]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 se44bus;Sony Ericsson Device 068 driver (WDM); C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 9360]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 97088]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 88624]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS); C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 18704]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 86432]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM); C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 90800]
S3 se45bus;Sony Ericsson Device 069 driver (WDM); C:\WINDOWS\system32\DRIVERS\se45bus.sys [2006-11-30 61536]
S3 se45mdfl;Sony Ericsson Device 069 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se45mdfl.sys [2006-11-30 9360]
S3 se45mdm;Sony Ericsson Device 069 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se45mdm.sys [2006-11-30 97088]
S3 se45mgmt;Sony Ericsson Device 069 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se45mgmt.sys [2006-11-30 88624]
S3 se45nd5;Sony Ericsson Device 069 USB Ethernet Emulation SEMC45 (NDIS); C:\WINDOWS\system32\DRIVERS\se45nd5.sys [2006-11-30 18704]
S3 se45obex;Sony Ericsson Device 069 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se45obex.sys [2006-11-30 86432]
S3 se45unic;Sony Ericsson Device 069 USB Ethernet Emulation SEMC45 (WDM); C:\WINDOWS\system32\DRIVERS\se45unic.sys [2006-11-30 90800]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-02-09 7808]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbser;USB Modem Driver; C:\WINDOWS\system32\drivers\usbser.sys [2008-04-14 26112]
S3 UsbserFilt;UsbserFilt; C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-02-09 7808]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]
S3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-04-29 288896]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-03-16 602112]
R2 CCALib8;Canon Camera Access Library 8; C:\Programme\Canon\CAL\CALMAIN.exe [2007-01-31 96370]
R2 InCDsrv;InCD Helper; C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe [2007-11-26 1554728]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-06-29 1029456]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2009-06-17 73728]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service; C:\Programme\McAfee\SiteAdvisor\McSACore.exe [2009-02-11 210216]
R2 mcmscsvc;McAfee Services; C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe [2009-01-08 797864]
R2 McNASvc;McAfee Network Agent; c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe [2009-01-09 2482848]
R2 McProxy;McAfee Proxy Service; c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe [2009-01-09 359952]
R2 McShield;McAfee Real-time Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe [2009-03-25 144704]
R2 MpfService;McAfee Personal Firewall Service; C:\Programme\McAfee\MPF\MPFSrv.exe [2009-03-19 884360]
R2 MSK80Service;McAfee Anti-Spam Service; C:\Programme\McAfee\MSK\MskSrver.exe [2009-01-09 26640]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
R2 ProtexisLicensing;ProtexisLicensing; C:\WINDOWS\system32\PSIService.exe [2006-11-02 174656]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-03-17 593920]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 MBackMonitor;MBackMonitor; C:\Programme\McAfee\MBK\MBackMonitor.exe [2009-01-09 68112]
S3 McODS;McAfee Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe [2009-04-01 365072]
S3 McSysmon;McAfee SystemGuards; C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe [2009-03-24 606736]
S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-09-17 800040]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848]
S3 ServiceLayer;ServiceLayer; D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe [2009-03-04 621056]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
         

Alt 30.07.2009, 14:14   #5
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



und jetzt noch die info.txt

Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2009-07-30 15:00:29

======Uninstall list======

-->C:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\NuNInst.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2x1/4x1 USB Peripheral Switch-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A3752427-9AAA-4B1C-B428-01723E0E9FFA}\SETUP.EXE" 
Ad-Aware-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ASUSUpdate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\setup.exe" -l0x7 
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
ATI Parental Control & Encoder-->MsiExec.exe /I{9862B19F-4CAD-4EED-920F-2F378D84393F}
Canon Camera Access Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CAL\Uninst.ini"
Canon Camera Support Core Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CSCLIB\Uninst.ini"
Canon EOS 5D WIA-Treiber-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{BB3AB664-D92B-4CB5-8B3E-D841841F4E68} /l1031 
CANON iMAGE GATEWAY Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CRWUnInstall.ini"
Canon Internet Library for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CIGUnInstall.ini"
Canon RAW Image Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\RAW Image Task\Uninst.ini"
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC\Uninst.ini"
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC6\Uninst.ini"
Canon Utilities CameraWindow-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowLauncher\Uninst.ini"
Canon Utilities Digital Photo Professional 3.4-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Digital Photo Professional\Uninst.ini"
Canon Utilities EOS Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\EOS Utility\Uninst.ini"
Canon Utilities MyCamera-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\MyCamera\Uninst.ini"
Canon Utilities Original Data Security Tools-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Original Data Security Tools\Uninst.ini"
Canon Utilities PhotoStitch-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\PhotoStitch\Uninst.ini"
Canon Utilities Picture Style Editor-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Picture Style Editor\Uninst.ini"
Canon Utilities RemoteCapture Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\RemoteCaptureTask DC\Uninst.ini"
Canon Utilities WFT-E1/E2/E3 Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\WFT Utility\Uninst.ini"
Canon Utilities ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\Uninst.ini"
Canon ZoomBrowser EX Memory Card Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX MCU\Uninst.ini"
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Corel Paint Shop Pro Photo XI-->MsiExec.exe /X{E1C7EF5E-3A7B-4ED4-A48B-F70F1B36EAB4}
Curse Client-->C:\Programme\Curse\uninstall.exe
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
Fotostory 3 für Windows-->MsiExec.exe /I{4F41AD68-89F2-4262-A32C-2F70B01FCE9E}
Free Audio Dub version 1.4-->"C:\Programme\DVDVideoSoft\Free Audio Dub\unins000.exe"
Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP Image Zone Express-->MsiExec.exe /X{85BCA736-A0F4-448E-9BC1-6EA08693E10B}
HP PSC & OfficeJet 4.7-->"C:\Programme\HP\Digital Imaging\{342C7C88-D335-4bc2-8CF1-281857629CE2}\setup\hpzscr01.exe" -datfile hposcr05.dat
HP Software Update-->MsiExec.exe /X{64FC0C98-B035-4530-B15D-3D30610B6DF1}
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
LightScribe System Software-->MsiExec.exe /X{82EF29B1-9B60-4142-A155-0599216DD053}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver-->C:\Programme\Marvell\Miniport Driver\Uninst.exe
McAfee SecurityCenter-->C:\Programme\McAfee\MSC\mcuninst.exe
MediaMonkey 3.0-->"C:\Programme\MediaMonkey\unins000.exe"
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 Premium-->MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
MobMap 3.20-->"C:\Programme\MobMapUpdater\unins000.exe"
Mozilla Firefox (3.5.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MRUClear 1.6-->MsiExec.exe /X{101DFCB2-9734-455B-8BDE-E4AB02ED90FC}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 7 Essentials-->MsiExec.exe /X{1596098A-FCEC-48F0-B7C7-08A31B771031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nokia Connectivity Cable Driver-->MsiExec.exe /I{82427977-8776-4087-90CA-9F65174D3C4D}
Nokia Flashing Cable Driver-->MsiExec.exe /X{A4E0CA0F-1903-440A-9B98-FEA6CB049999}
Nokia Music-->MsiExec.exe /I{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}
Nokia Ovi Application Installer 6.85.3011-->msiexec /qn /x {42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Application Installer-->MsiExec.exe /I{42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Content Copier 6.85.3011-->msiexec /qn /x {6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi Content Copier-->MsiExec.exe /X{6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi One Touch Access 6.85.3011-->msiexec /qn /x {4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi One Touch Access-->MsiExec.exe /I{4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi Suite-->MsiExec.exe /I{B5264B25-8908-49BB-A708-5A70DFBF8094}
Nokia Ovi System Utilities 6.85.3016-->msiexec /qn /x {FF34EA62-92C1-41E6-BA64-B2B7ECB53737}
Nokia Ovi System Utilities-->MsiExec.exe /X{FF34EA62-92C1-41E6-BA64-B2B7ECB53737}
Nokia Photos-->MsiExec.exe /I{D3656CE3-0F62-447F-AEF3-9BF29B6197D9}
Nokia Software Updater-->MsiExec.exe /X{7169FA93-66C2-43BD-86E0-CD332A686B29}
OpenOffice.org 2.4-->MsiExec.exe /I{CCD90636-D97D-4130-A44A-3AD4E63B9220}
Opera 9.64-->MsiExec.exe /X{E1BBBAC5-2857-4155-82A6-54492CE88620}
Panel Client 3.2-->"C:\Programme\Panel Client\unins000.exe"
PC Connectivity Solution-->MsiExec.exe /I{B7CB0BF3-791E-44D3-9F04-786E36D51C9D}
PC Probe II-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F7338FA3-DAB5-49B2-900D-0AFB5760C166}\setup.exe" -l0x7 
Photomizer-->MsiExec.exe /X{A00F8237-F496-44D2-0001-E3CCF8CD58AE}
PokerStars-->"C:\Programme\PokerStars\PokerStarsUninstall.exe" /u:PokerStars
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Shape Collage-->C:\Programme\Shape Collage\uninstall.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\setup.exe" -l0x7 
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Windows Driver Package - OPTO ELECTRONICS CO.,LTD (optousb) Ports  (06/02/2008 2.0.5.5)-->C:\PROGRA~1\DIFX\7F01D4C0B2897E27\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\optousb_B4BF16D6AA4E4280B2969769E5DD04B1DF3D9CAD\optousb.inf
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
WL-142 Wireless Network Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{20278679-B213-495B-B20D-4DC4856401C6}\Setup.exe" -l0x9 
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe

======Security center information======

AV: McAfee VirusScan
FW: McAfee Personal Firewall

======System event log======

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 13797
Source Name: Service Control Manager
Time Written: 20090624100243.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Beendet".

Record Number: 13796
Source Name: Service Control Manager
Time Written: 20090624100240.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet.

Record Number: 13795
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt".

Record Number: 13794
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 13793
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: COMPUTER-801
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 4562
Source Name: LoadPerf
Time Written: 20090430191219.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 4099
Message: Dienst konnte nicht geöffnet werden.

Record Number: 4561
Source Name: WmiAdapter
Time Written: 20090430190841.000000+120
Event Type: Fehler
User: VORDEFINIERT\Administratoren

Computer Name: COMPUTER-801
Event Code: 5000
Message: McShield-Dienst gestartet.

Modulversion: 5301.4018

DAT-Version: 5600.0000



Anzahl an Signaturen in EXTRA.DAT: None

Namen der Bedrohungen, die EXTRA.DAT entdecken kann: None

Record Number: 4560
Source Name: McLogEvent
Time Written: 20090430190839.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTER-801
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 4559
Source Name: SecurityCenter
Time Written: 20090430190819.000000+120
Event Type: Informationen
User: 

Computer Name: COMPUTER-801
Event Code: 0
Message: 
Record Number: 4558
Source Name: McAfee SiteAdvisor Service
Time Written: 20090430190811.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=D:\Programme\Nokia\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\Gemeinsame Dateien\Teleca Shared;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=16
"PROCESSOR_IDENTIFIER"=x86 Family 16 Model 2 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=0203
"NUMBER_OF_PROCESSORS"=4
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
         


Alt 30.07.2009, 15:43   #6
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



so und hier nun der letzte teil

Code:
ATTFilter
GMER 1.0.15.15011 [301nj19s.exe] - http://www.gmer.net
Rootkit scan 2009-07-30 16:35:17
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                             ZwCreateKey [0xF74F787E]
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                             ZwSetValueKey [0xF74F7BFE]

Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateFile [0xEEA534EA]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcess [0xEEA53498]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcessEx [0xEEA534AC]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwMapViewOfSection [0xEEA5352A]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenProcess [0xEEA53470]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenThread [0xEEA53484]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwProtectVirtualMemory [0xEEA534FE]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetContextThread [0xEEA534D6]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetInformationProcess [0xEEA534C2]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwTerminateProcess [0xEEA53559]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwUnmapViewOfSection [0xEEA53540]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwYieldExecution [0xEEA53514]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtCreateFile
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtMapViewOfSection
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenProcess
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenThread
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtSetInformationProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwYieldExecution                                                                 80504AE8 7 Bytes  JMP EEA53518 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtCreateFile                                                                     80579084 5 Bytes  JMP EEA534EE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtMapViewOfSection                                                               805B2006 7 Bytes  JMP EEA5352E \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwUnmapViewOfSection                                                             805B2E14 5 Bytes  JMP EEA53544 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwProtectVirtualMemory                                                           805B83E6 7 Bytes  JMP EEA53502 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenProcess                                                                    805CB408 5 Bytes  JMP EEA53474 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenThread                                                                     805CB694 5 Bytes  JMP EEA53488 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtSetInformationProcess                                                          805CDE52 5 Bytes  JMP EEA534C6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                805D1142 7 Bytes  JMP EEA534B0 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcess                                                                  805D11F8 5 Bytes  JMP EEA5349C \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwSetContextThread                                                               805D1702 5 Bytes  JMP EEA534DA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwTerminateProcess                                                               805D29AA 5 Bytes  JMP EEA5355D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 00CE0000 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00CE0073 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00CE0F7E 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00CE0062 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00CE0051 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00CE0FC0 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 00CE00C6 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 00CE009F 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 00CE0F3E 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 00CE00E1 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00CE00F2 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00CE0FAF 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 00CE0011 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00CE0084 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00CE002C 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 00CE0FDB 
.text           C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 00CE0F63 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 00CD0FCA 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 00CD0F94 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 00CD001B 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 00CD0FE5 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 00CD0FAF 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 00CD0000 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 5 Bytes  JMP 00CD0051 
.text           C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 00CD002C 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00CC0F9C 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00CC0FB7 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 00CC001D 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 00CC0FEF 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 00CC0FD2 
.text           C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 00CC000C 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 0007000A 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00070F83 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00070F9E 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00070FB9 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00070076 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00070040 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 0007009D 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00070F55 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00070F1F 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00070F44 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00070F0E 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 0007005B 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00070FE5 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00070F72 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00070FD4 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 0007001B 
.text           C:\WINDOWS\system32\services.exe[640] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 000700B8 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00060036 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00060087 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00060025 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00060FEF 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00060FCA 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 0006000A 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 0006006C 
.text           C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00060047 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 0005002C 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 00050F97 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00050FC3 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00050FEF 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00050FA8 
.text           C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00050FDE 
.text           C:\WINDOWS\system32\services.exe[640] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00040FEF 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateFileA                                   7C801A28 5 Bytes  JMP 00F4000A 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 00F40F7C 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 00F40F8D 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 00F40FA8 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 00F40FC3 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 00F40FE5 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetStartupInfoW                               7C801E54 5 Bytes  JMP 00F40F3A 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetStartupInfoA                               7C801EF2 5 Bytes  JMP 00F40F61 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 00F400B8 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 00F4009D 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 00F400C9 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 00F40FD4 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateFileW                                   7C810800 5 Bytes  JMP 00F40025 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreatePipe                                    7C81D83F 5 Bytes  JMP 00F4008C 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 00F40047 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 00F40036 
.text           C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!WinExec                                       7C86250D 5 Bytes  JMP 00F40F1F 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyExW                                 77DA6AAF 5 Bytes  JMP 00F3001B 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyExW                               77DA776C 5 Bytes  JMP 00F3006C 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyExA                                 77DA7852 5 Bytes  JMP 00F30000 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyW                                   77DA7946 5 Bytes  JMP 00F30FD4 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyExA                               77DAE9F4 5 Bytes  JMP 00F30051 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyA                                   77DAEFC8 5 Bytes  JMP 00F30FEF 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyW                                 77DCBA55 5 Bytes  JMP 00F30036 
.text           C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyA                                 77DCBCF3 5 Bytes  JMP 00F30FAF 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 00F2003D 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 00F20FB2 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 00F20022 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_open                                           77BFF566 5 Bytes  JMP 00F20000 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wcreat                                         77BFFC9B 5 Bytes  JMP 00F20FCD 
.text           C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 00F20011 
.text           C:\WINDOWS\system32\lsass.exe[652] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00E40000 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 00CB0FEF 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00CB0F97 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00CB0FA8 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00CB0076 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00CB005B 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00CB002F 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 00CB0F5F 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 00CB00A7 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 00CB0F33 
.text           C:\WINDOWS\system32\svchost.exe[836]
         

Alt 30.07.2009, 15:45   #7
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



Code:
ATTFilter
kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 00CB00C2 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00CB0F22 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00CB004A 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 00CB000A 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00CB0F86 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00CB0FC3 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 00CB0FD4 
.text           C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 00CB0F44 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 00CA0022 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 00CA0047 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 00CA0011 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 00CA0000 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 00CA0F80 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 00CA0FEF 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 2 Bytes  JMP 00CA0F9B 
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyW + 3                           77DCBA58 2 Bytes  [ED, 88]
.text           C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 00CA0FAC 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00C90FC6 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00C90047 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 00C90011 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 00C90000 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 00C90036 
.text           C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 00C90FD7 
.text           C:\WINDOWS\system32\svchost.exe[836] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 00C80000 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 00CC0FEF 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00CC0F7E 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00CC0073 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00CC0062 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00CC0051 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00CC0FC0 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 00CC009A 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 00CC0F48 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 00CC0F2D 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 00CC00C6 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00CC0F12 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00CC0FAF 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 00CC000A 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00CC0F63 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00CC002C 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 00CC001B 
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 00CC00B5 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 00CB0FB2 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 00CB0F86 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 00CB0FCD 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 00CB0FDE 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 00CB0FA1 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 00CB0FEF 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 5 Bytes  JMP 00CB0039 
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 00CB0028 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00CA0FAB 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00CA0FBC 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 00CA001B 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 00CA0FEF 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 00CA002C 
.text           C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 00CA0000 
.text           C:\WINDOWS\system32\svchost.exe[904] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 00C90000 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 02DC0000 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 02DC0076 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 02DC0F8B 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 02DC0F9C 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 02DC0065 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 02DC0040 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 02DC0F2E 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 02DC0F3F 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 02DC0098 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 02DC0087 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 02DC00BD 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 02DC0FC3 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 02DC0FE5 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 02DC0F66 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 02DC002F 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 02DC0FD4 
.text           C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 02DC0F13 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 02DB0025 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 02DB0FA5 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 02DB0FD4 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 02DB0FEF 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 02DB0062 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 02DB000A 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 5 Bytes  JMP 02DB0047 
.text           C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 02DB0036 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 02CA0FB2 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 02CA003D 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 02CA0011 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 02CA0000 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 02CA002C 
.text           C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 02CA0FD7 
.text           C:\WINDOWS\System32\svchost.exe[952] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 02C90FEF 
.text           C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenA                                408CC879 5 Bytes  JMP 02C80FEF 
.text           C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenW                                408CCEA9 5 Bytes  JMP 02C80FD4 
.text           C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenUrlA                             408D0BD2 5 Bytes  JMP 02C8000A 
.text           C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenUrlW                             4091B081 5 Bytes  JMP 02C8002F 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 00650000 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00650F92 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00650087 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00650FAD 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00650076 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00650FCA 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 006500A2 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 00650F5A 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 006500DF 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 006500CE 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00650F2B 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00650051 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 0065001B 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00650F77 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00650FE5 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 0065002C 
.text           C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 006500BD 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 00640FDE 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 00640080 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 00640025 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 00640FEF 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 0064006F 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 00640000 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 2 Bytes  JMP 00640FC3 
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW + 3                           77DCBA58 2 Bytes  [87, 88]
.text           C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 0064004A 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00630049 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00630038 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 0063001D 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 00630FEF 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 00630FD2 
.text           C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 0063000C 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 007B0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 007B0F8A 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 007B007F 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 007B0064 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 007B0047 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 007B0FB9 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 007B0F4B 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 007B0F68 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 007B00B8 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 007B0F1F 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 007B00D3 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 007B0036 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 007B0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 007B0F79 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 007B001B 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 007B000A 
.text           C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 007B0F30 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 007A000A 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 007A0F7C 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 007A0FB9 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 007A0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 007A0039 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 007A0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 007A0F8D 
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [9D, 88]
.text           C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 007A0F9E 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 00790FA1 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 0079002C 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00790011 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00790FEF 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00790FBC 
.text           C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00790000 
.text           C:\WINDOWS\system32\svchost.exe[1056] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00780FEF 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00A10FEF 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00A10F6E 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00A10F7F 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00A1004D 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00A10032 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00A10FAB 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00A100A5 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00A10F5D 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00A10F16 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00A10F31 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00A100C0 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 00A10F90 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00A10FDE 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00A10088 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00A10FBC 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00A10FCD 
.text           C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00A10F42 
.text           C:\WINDOWS\system32\svchost.exe[1084]
         

Alt 30.07.2009, 15:46   #8
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



Code:
ATTFilter
ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00A00FCA 
.text           C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00A00F83 
.text           C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00A0001B 
.text           C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00A0000A 
.text           C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00A00F94 
.text           C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00A00FEF 
.text           C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 00A00036 
.text           C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00A00FB9 
.text           C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 009F0FA6 
.text           C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 009F0FB7 
.text           C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 009F0FD2 
.text           C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 009F0000 
.text           C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 009F001D 
.text           C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 009F0FE3 
.text           C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 009E0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00BE0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00BE0F55 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00BE0F66 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00BE0F81 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00BE0040 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00BE0F9E 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00BE0F1F 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00BE0071 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00BE0EE9 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00BE0F0E 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00BE009D 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 00BE0025 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00BE0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00BE0F3A 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00BE0FB9 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00BE000A 
.text           C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00BE008C 
.text           C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00940FDB 
.text           C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 0094006C 
.text           C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00940022 
.text           C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00940011 
.text           C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00940FAF 
.text           C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00940000 
.text           C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00940FC0 
.text           C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [B7, 88] {MOV BH, 0x88}
.text           C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00940047 
.text           C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 00930047 
.text           C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 00930036 
.text           C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 0093001B 
.text           C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00930FE3 
.text           C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00930FC6 
.text           C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00930000 
.text           C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenA                               408CC879 5 Bytes  JMP 00910FEF 
.text           C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenW                               408CCEA9 5 Bytes  JMP 0091000A 
.text           C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenUrlA                            408D0BD2 5 Bytes  JMP 00910FD4 
.text           C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenUrlW                            4091B081 5 Bytes  JMP 00910025 
.text           C:\WINDOWS\system32\svchost.exe[1396] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00920000 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateFileA                                        7C801A28 5 Bytes  JMP 00C60FEF 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!VirtualProtectEx                                   7C801A61 5 Bytes  JMP 00C60F46 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!VirtualProtect                                     7C801AD4 5 Bytes  JMP 00C60F61 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryExW                                     7C801AF5 5 Bytes  JMP 00C6002F 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryExA                                     7C801D53 5 Bytes  JMP 00C60F7C 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryA                                       7C801D7B 5 Bytes  JMP 00C60FA8 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!GetStartupInfoW                                    7C801E54 5 Bytes  JMP 00C60071 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!GetStartupInfoA                                    7C801EF2 5 Bytes  JMP 00C60060 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateProcessW                                     7C802336 5 Bytes  JMP 00C60EE9 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateProcessA                                     7C80236B 5 Bytes  JMP 00C60082 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!GetProcAddress                                     7C80AE40 5 Bytes  JMP 00C60ECE 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryW                                       7C80AEEB 5 Bytes  JMP 00C60F8D 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateFileW                                        7C810800 5 Bytes  JMP 00C60000 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreatePipe                                         7C81D83F 5 Bytes  JMP 00C60F35 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateNamedPipeW                                   7C82F0DD 5 Bytes  JMP 00C60FC3 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateNamedPipeA                                   7C860CDC 5 Bytes  JMP 00C60FD4 
.text           C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!WinExec                                            7C86250D 5 Bytes  JMP 00C60F04 
.text           C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyExW                                      77DA6AAF 5 Bytes  JMP 00C30FB2 
.text           C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyExW                                    77DA776C 5 Bytes  JMP 00C3003C 
.text           C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyExA                                      77DA7852 5 Bytes  JMP 00C30FCD 
.text           C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyW                                        77DA7946 5 Bytes  JMP 00C30FDE 
.text           C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyExA                                    77DAE9F4 5 Bytes  JMP 00C30F7F 
.text           C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyA                                        77DAEFC8 5 Bytes  JMP 00C30FEF 
.text           C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyW                                      77DCBA55 2 Bytes  JMP 00C30F90 
.text           C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyW + 3                                  77DCBA58 2 Bytes  [E6, 88] {OUT 0x88, AL}
.text           C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyA                                      77DCBCF3 5 Bytes  JMP 00C30FA1 
.text           C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_wsystem                                             77BF931E 5 Bytes  JMP 00C20FC1 
.text           C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!system                                               77BF93C7 5 Bytes  JMP 00C20FD2 
.text           C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_creat                                               77BFD40F 5 Bytes  JMP 00C20FE3 
.text           C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_open                                                77BFF566 5 Bytes  JMP 00C20000 
.text           C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_wcreat                                              77BFFC9B 5 Bytes  JMP 00C20042 
.text           C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_wopen                                               77C00055 5 Bytes  JMP 00C2001D 
.text           C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenA                                       408CC879 5 Bytes  JMP 00BF0FEF 
.text           C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenW                                       408CCEA9 5 Bytes  JMP 00BF0000 
.text           C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenUrlA                                    408D0BD2 5 Bytes  JMP 00BF0025 
.text           C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenUrlW                                    4091B081 5 Bytes  JMP 00BF0036 
.text           C:\WINDOWS\Explorer.EXE[1516] WS2_32.dll!socket                                               71A14211 5 Bytes  JMP 00C10000 
.text           c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[1864] kernel32.dll!LoadLibraryA               7C801D7B 5 Bytes  JMP 0041C130 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text           c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[1864] kernel32.dll!LoadLibraryW               7C80AEEB 5 Bytes  JMP 0041C1B0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 001B0000 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 001B007D 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 001B006C 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 001B0051 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 001B0040 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 001B0FB9 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 001B0F63 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 001B00AB 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 001B00F2 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 001B00D7 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 001B0103 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 001B0FA8 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 001B0FEF 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 001B008E 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 001B0025 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 001B0FD4 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 001B00C6 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 002A0FA8 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 002A0033 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 002A0FCD 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 002A0FEF 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 002A0022 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 002A0FDE 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 002B0FC3 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 002B0F7C 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 002B000A 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 002B0FD4 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 002B002F 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 002B0FEF 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 002B0F8D 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [4E, 88]
.text           C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 002B0F9E 
.text           C:\WINDOWS\system32\wuauclt.exe[3428] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 003C0FEF 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateFileA               7C801A28 5 Bytes  JMP 0026000A 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!VirtualProtectEx          7C801A61 5 Bytes  JMP 00260F6F 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!VirtualProtect            7C801AD4 5 Bytes  JMP 00260064 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryExW            7C801AF5 5 Bytes  JMP 00260053 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryExA            7C801D53 5 Bytes  JMP 00260F8A 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryA              7C801D7B 5 Bytes  JMP 0026002C 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!GetStartupInfoW           7C801E54 5 Bytes  JMP 00260F43 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!GetStartupInfoA           7C801EF2 5 Bytes  JMP 0026008B 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateProcessW            7C802336 5 Bytes  JMP 00260EFC 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateProcessA            7C80236B 5 Bytes  JMP 00260F17 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!GetProcAddress            7C80AE40 5 Bytes  JMP 002600B0 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryW              7C80AEEB 5 Bytes  JMP 00260FAF 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateFileW               7C810800 5 Bytes  JMP 00260FEF 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreatePipe                7C81D83F 5 Bytes  JMP 00260F54 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateNamedPipeW          7C82F0DD 5 Bytes  JMP 0026001B 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateNamedPipeA          7C860CDC 5 Bytes  JMP 00260FCA 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!WinExec                   7C86250D 5 Bytes  JMP 00260F32 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyExW             77DA6AAF 5 Bytes  JMP 00350040 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyExW           77DA776C 5 Bytes  JMP 00350087 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyExA             77DA7852 5 Bytes  JMP 00350025 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyW               77DA7946 5 Bytes  JMP 00350FEF 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyExA           77DAE9F4 5 Bytes  JMP 00350076 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyA               77DAEFC8 5 Bytes  JMP 00350000 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyW             77DCBA55 2 Bytes  JMP 00350FCA 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyW + 3         77DCBA58 2 Bytes  [58, 88]
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyA             77DCBCF3 5 Bytes  JMP 00350051 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wsystem                    77BF931E 1 Byte  [E9]
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wsystem                    77BF931E 5 Bytes  JMP 00360022 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!system                      77BF93C7 5 Bytes  JMP 00360F97 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_creat                      77BFD40F 5 Bytes  JMP 00360000 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_open                       77BFF566 5 Bytes  JMP 00360FE3 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wcreat                     77BFFC9B 5 Bytes  JMP 00360011 
.text           C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wopen                      77C00055 5 Bytes  JMP 00360FD2 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                        mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                      Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                     Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                     Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                   Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)

---- EOF - GMER 1.0.15 ----
         



jetzt bin ich mal gespannt

Alt 30.07.2009, 20:01   #9
Larusso
/// Selecta Jahrusso
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



Zu sehen ist nichts mehr

schritt 1

Deine Java Version ist nicht aktuell.
Deinstalliere bitte alle alten Versionen.
Downloade Dir bitte Java Update 14 und installiere diese.


schritt 2

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen


schritt 3

Poste eine frische HJT Logfile.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 31.07.2009, 11:19   #10
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



alles erledigt

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:11, on 31.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Belkin\F1U201.401\usbshare.exe
C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.search.yahoo.com/search?fr=mcafee&p=%s
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F1U201.401.lnk = ?
O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ?
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7665 bytes
         
Code:
ATTFilter
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Freitag, 31. Juli 2009 12:03:24
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 31/07/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2325622
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\
	J:\
	K:\
	L:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 104354
	Viren gefunden: 0
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 01:33:08

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MNA\NAData	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MNM\NDData	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSC\Logs\Events.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSC\Logs\{88CF7B1E-4DBB-4AE6-874A-B78FF76B0CFA}.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSC\McUsers.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSK\MSKWMDB.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSK\settingsdb.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\SiteAdvisor\SA.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\VirusScan\Data\TFRD.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\VirusScan\Logs\OAS.Log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\VirusScan\Logs\SYSTEM_ODS.Log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\cookies.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\signons.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpaceSP2.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpaceSP2.db.shadow	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\11.0\WMSDKNSD.XML	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\etilqs_XkRWalssR4wshYtIJOKW	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\~DFE90B.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009073120090801\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\User\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\WL-142 Wireless Network Utility\sitecom_new.avi	Das Objekt ist gesperrt	übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step1_Name.AVI	Das Objekt ist gesperrt	übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step2_Infra.AVI	Das Objekt ist gesperrt	übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step5_NoSetIP.AVI	Das Objekt ist gesperrt	übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step6_SetIP.AVI	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{A1D9F676-0227-478E-B865-D4111DE236AB}\RP222\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\mcmsc_2dWwYsJRP8RVzJY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\mcmsc_D2wakflfqqZnfvI	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\mcmsc_ZfICzCCjP5qXGoX	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_460.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_2FCCwpZYfZyUGUZ	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_5iZXHlOB0gQ6siJ	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_8TrOMsHjeuW0Seq	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_hgviGnFgfEWEQg9	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_lyCfAjcTwgusaYT	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_T4OTIcjHSeBsOVN	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_ZqUjwA0mEdYLqvm	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
H:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         

meine frage jetzt noch, was macht sinn an den programmen die ich hab (adaware, mcafee, usw)? vorallem was adaware betrifft interessiert mich das doch sehr.

achja :aplaus: vielen vielen dank! finds super das ihr euch die zeit nehmt und dem unwissenden volk ein wenig helft

Alt 31.07.2009, 11:24   #11
Larusso
/// Selecta Jahrusso
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



schritt 1

Bitte wende CCleaner wie beschrieben an.


schritt 2

Ich möchte noch nachsehen, ob sich was vor uns versteckt.
( scandauer ca 5 min )
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 31.07.2009, 12:51   #12
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



das mit den 5 minuten haut da bei mir nicht ganz hin *lach* aber auftrag ausgeführt!


Code:
ATTFilter
GMER 1.0.15.15011 [301nj19s.exe] - h**p://www.gmer.net
Rootkit scan 2009-07-31 13:46:42
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                             ZwCreateKey [0xF74F787E]
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                             ZwSetValueKey [0xF74F7BFE]

Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateFile [0xEEA534EA]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcess [0xEEA53498]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcessEx [0xEEA534AC]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwMapViewOfSection [0xEEA5352A]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenProcess [0xEEA53470]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenThread [0xEEA53484]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwProtectVirtualMemory [0xEEA534FE]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetContextThread [0xEEA534D6]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetInformationProcess [0xEEA534C2]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwTerminateProcess [0xEEA53559]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwUnmapViewOfSection [0xEEA53540]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwYieldExecution [0xEEA53514]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtCreateFile
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtMapViewOfSection
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenProcess
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenThread
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtSetInformationProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwYieldExecution                                                                 80504AE8 7 Bytes  JMP EEA53518 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtCreateFile                                                                     80579084 5 Bytes  JMP EEA534EE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtMapViewOfSection                                                               805B2006 7 Bytes  JMP EEA5352E \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwUnmapViewOfSection                                                             805B2E14 5 Bytes  JMP EEA53544 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwProtectVirtualMemory                                                           805B83E6 7 Bytes  JMP EEA53502 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenProcess                                                                    805CB408 5 Bytes  JMP EEA53474 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenThread                                                                     805CB694 5 Bytes  JMP EEA53488 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtSetInformationProcess                                                          805CDE52 5 Bytes  JMP EEA534C6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                805D1142 7 Bytes  JMP EEA534B0 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcess                                                                  805D11F8 5 Bytes  JMP EEA5349C \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwSetContextThread                                                               805D1702 5 Bytes  JMP EEA534DA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwTerminateProcess                                                               805D29AA 5 Bytes  JMP EEA5355D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateFileA                                 7C801A28 5 Bytes  JMP 001B0FE5 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 001B0F6F 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 001B0064 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 001B0049 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 001B0F80 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 001B001B 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!GetStartupInfoW                             7C801E54 5 Bytes  JMP 001B009A 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!GetStartupInfoA                             7C801EF2 5 Bytes  JMP 001B0F54 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 001B00C6 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 001B00AB 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 001B0F12 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 001B002C 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateFileW                                 7C810800 5 Bytes  JMP 001B0000 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 001B0075 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 001B0FB9 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 001B0FCA 
.text           C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!WinExec                                     7C86250D 5 Bytes  JMP 001B0F37 
.text           C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 002A0FB2 
.text           C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 002A003D 
.text           C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 002A0011 
.text           C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_open                                         77BFF566 5 Bytes  JMP 002A0000 
.text           C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_wcreat                                       77BFFC9B 5 Bytes  JMP 002A002C 
.text           C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 002A0FE3 
.text           C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyExW                               77DA6AAF 5 Bytes  JMP 002B0FC3 
.text           C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyExW                             77DA776C 5 Bytes  JMP 002B0F8D 
.text           C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyExA                               77DA7852 5 Bytes  JMP 002B0FD4 
.text           C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyW                                 77DA7946 5 Bytes  JMP 002B0000 
.text           C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyExA                             77DAE9F4 5 Bytes  JMP 002B0FA8 
.text           C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyA                                 77DAEFC8 5 Bytes  JMP 002B0FE5 
.text           C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyW                               77DCBA55 5 Bytes  JMP 002B004A 
.text           C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyA                               77DCBCF3 5 Bytes  JMP 002B002F 
.text           C:\WINDOWS\system32\wuauclt.exe[276] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 003C0FEF 
.text           c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[436] kernel32.dll!LoadLibraryA                7C801D7B 5 Bytes  JMP 0041C130 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text           c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[436] kernel32.dll!LoadLibraryW                7C80AEEB 5 Bytes  JMP 0041C1B0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00F30000 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00F30F83 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00F30F9E 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00F3006C 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00F30FAF 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00F30036 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00F300BF 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00F300AE 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00F30F41 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00F300DA 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00F30F30 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 00F30051 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00F30FE5 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00F3009D 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00F30FCA 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00F3001B 
.text           C:\WINDOWS\system32\services.exe[812] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00F30F5C 
.text           C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00E60FC3 
.text           C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00E6002F 
.text           C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00E60FD4 
.text           C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00E60000 
.text           C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00E60F7C 
.text           C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00E60FEF 
.text           C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00E60F8D 
.text           C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [09, 89]
.text           C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00E60FB2 
.text           C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 00E50058 
.text           C:\WINDOWS\system32\services.exe[812] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 00E5003D 
.text           C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00E50FCD 
.text           C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00E50FEF 
.text           C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00E50022
         

Alt 31.07.2009, 12:53   #13
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



Code:
ATTFilter
.text           C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00E50FDE 
.text           C:\WINDOWS\system32\services.exe[812] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00E40FEF 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateFileA                                   7C801A28 5 Bytes  JMP 010D000A 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 010D0080 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 010D0F95 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 010D0FA6 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 010D0FC3 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 010D0FE5 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!GetStartupInfoW                               7C801E54 5 Bytes  JMP 010D0F55 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!GetStartupInfoA                               7C801EF2 5 Bytes  JMP 010D009D 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateProcessW                                7C802336 1 Byte  [E9]
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 010D0F3A 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 010D00D3 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 010D0F1F 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 010D0FD4 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateFileW                                   7C810800 3 Bytes  JMP 010D001B 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateFileW + 4                               7C810804 1 Byte  [84]
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreatePipe                                    7C81D83F 3 Bytes  JMP 010D0F66 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreatePipe + 4                                7C81D843 1 Byte  [84]
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 010D0047 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 010D002C 
.text           C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!WinExec                                       7C86250D 5 Bytes  JMP 010D00C2 
.text           C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyExW                                 77DA6AAF 5 Bytes  JMP 00FF0036 
.text           C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyExW                               77DA776C 5 Bytes  JMP 00FF0F8A 
.text           C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyExA                                 77DA7852 5 Bytes  JMP 00FF0FE5 
.text           C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyW                                   77DA7946 5 Bytes  JMP 00FF001B 
.text           C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyExA                               77DAE9F4 5 Bytes  JMP 00FF0047 
.text           C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyA                                   77DAEFC8 5 Bytes  JMP 00FF000A 
.text           C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyW                                 77DCBA55 2 Bytes  JMP 00FF0FAF 
.text           C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyW + 3                             77DCBA58 2 Bytes  [22, 89]
.text           C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyA                                 77DCBCF3 5 Bytes  JMP 00FF0FC0 
.text           C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 00FE0FB7 
.text           C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 00FE0042 
.text           C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 00FE0FD2 
.text           C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_open                                           77BFF566 5 Bytes  JMP 00FE0FEF 
.text           C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_wcreat                                         77BFFC9B 5 Bytes  JMP 00FE0027 
.text           C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 00FE000C 
.text           C:\WINDOWS\system32\lsass.exe[824] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00FD0000 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00CC0000 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00CC0F91 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00CC007C 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00CC0FA2 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00CC005F 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00CC0033 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00CC00BC 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00CC00AB 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00CC00F9 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00CC00E8 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00CC010A 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 00CC004E 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00CC0011 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00CC0F80 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00CC0FD1 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00CC0022 
.text           C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00CC00D7 
.text           C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00CB0036 
.text           C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00CB0076 
.text           C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00CB001B 
.text           C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00CB000A 
.text           C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00CB0065 
.text           C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00CB0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00CB0FB9 
.text           C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [EE, 88]
.text           C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00CB0FCA 
.text           C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 00CA0FA6 
.text           C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 00CA0031 
.text           C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00CA0FD2 
.text           C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00CA0000 
.text           C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00CA0FC1 
.text           C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00CA0FE3 
.text           C:\WINDOWS\system32\svchost.exe[1012] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00B50FEF 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00D00000 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00D00093 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00D00082 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00D00071 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00D0004A 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00D00FB9 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00D000BA 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00D00F72 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00D000E6 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00D00F4D 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00D000F7 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 00D00FA8 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00D00FE5 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00D00F83 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00D00FCA 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00D0001B 
.text           C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00D000CB 
.text           C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00CF0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00CF005B 
.text           C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00CF0025 
.text           C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00CF000A 
.text           C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00CF0F9E 
.text           C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00CF0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00CF0FAF 
.text           C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [F2, 88]
.text           C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00CF0040 
.text           C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 00CE0050 
.text           C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 00CE0FCF 
.text           C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00CE002E 
.text           C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00CE000C 
.text           C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00CE003F 
.text           C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00CE001D 
.text           C:\WINDOWS\system32\svchost.exe[1060] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00CD000A 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 035C000A 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 035C007D 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 035C006C 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 035C0F92 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 035C0FAF 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 035C0FDB 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 035C00AE 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 035C0F5C 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 035C00D0 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 035C00BF 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 035C0F1C 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 035C0FCA 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 035C001B 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 035C0F6D 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 035C0047 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 035C0036 
.text           C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 035C0F4B 
.text           C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 035B002C 
.text           C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 035B0F80 
.text           C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 035B001B 
.text           C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 035B0FE5 
.text           C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 035B0F9B 
.text           C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 035B0000 
.text           C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 035B003D 
.text           C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 035B0FC0 
.text           C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 035A0FAD 
.text           C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 035A002E 
.text           C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 035A000C 
.text           C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 035A0FEF 
.text           C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 035A001D 
.text           C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 035A0FD2 
.text           C:\WINDOWS\System32\svchost.exe[1108] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 03590FEF 
.text           C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenA                               408CC879 5 Bytes  JMP 02DC0000 
.text           C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenW                               408CCEA9 5 Bytes  JMP 02DC0FE5 
.text           C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenUrlA                            408D0BD2 5 Bytes  JMP 02DC0FD4 
.text           C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenUrlW                            4091B081 5 Bytes  JMP 02DC0FB9 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00650FEF 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 0065007D 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 0065006C 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 0065005B 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00650FA8 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00650FC3 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00650F49 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00650F66 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 006500A2 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00650F13 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00650EE4 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 0065004A 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 0065000A 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00650F77 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00650FD4 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00650025 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00650F2E 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 0064002F 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00640F83 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 0064000A 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00640FD4 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 0064004A 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00640FEF 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00640FA8 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [87, 88]
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00640FC3 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 00630F7F 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 00630F9A 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00630FB5 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00630FE3 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 0063000A 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00630FC6 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 007B0FEF
         

Alt 31.07.2009, 12:54   #14
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



Code:
ATTFilter
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 007B005D 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 007B0F72 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 007B0F83 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 007B0040 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 007B0FAF 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 007B00A6 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 007B0095 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 007B0F21 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 007B0F32 .text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 007B00DF 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 007B0F9E 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 007B0000 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 007B0078 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 007B0FCA 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 007B0011 
.text           C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 007B0F43 
.text           C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 007A0025 
.text           C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 007A0F8D 
.text           C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 007A0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 007A0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 007A004A 
.text           C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 007A000A 
.text           C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 007A0FA8 
.text           C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [9D, 88]
.text           C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 007A0FC3 
.text           C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 0079005A 
.text           C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 00790049 
.text           C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 0079001D 
.text           C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00790FEF 
.text           C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00790038 
.text           C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 0079000C 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00780FEF 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00A10FEF 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00A10F44 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00A10F5F 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00A10F70 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00A10039 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00A10FA1 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00A10F1D 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00A10065 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00A1008A 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00A10EF1 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00A1009B 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 00A10028 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00A10FDE 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00A10054 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00A10FBC 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00A10FCD 
.text           C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00A10F02 
.text           C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00A0001B 
.text           C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00A00F72 
.text           C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00A00FCA 
.text           C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00A00FEF 
.text           C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00A00F83 
.text           C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00A00000 
.text           C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00A00F94 
.text           C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [C3, 88]
.text           C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00A00FA5 
.text           C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 009F0053 
.text           C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 009F0FC8 
.text           C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 009F002E 
.text           C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 009F0000 
.text           C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 009F0FE3 
.text           C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 009F0011 
.text           C:\WINDOWS\system32\svchost.exe[1296] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 009E0FE5 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateFileA                                        7C801A28 5 Bytes  JMP 00C60FE5 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!VirtualProtectEx                                   7C801A61 5 Bytes  JMP 00C60075 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!VirtualProtect                                     7C801AD4 5 Bytes  JMP 00C60064 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryExW                                     7C801AF5 5 Bytes  JMP 00C60F8A 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryExA                                     7C801D53 5 Bytes  JMP 00C60047 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryA                                       7C801D7B 5 Bytes  JMP 00C6001B 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!GetStartupInfoW                                    7C801E54 5 Bytes  JMP 00C600BE 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!GetStartupInfoA                                    7C801EF2 5 Bytes  JMP 00C600AD 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateProcessW                                     7C802336 5 Bytes  JMP 00C600FB 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateProcessA                                     7C80236B 5 Bytes  JMP 00C600EA 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!GetProcAddress                                     7C80AE40 5 Bytes  JMP 00C6010C 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryW                                       7C80AEEB 5 Bytes  JMP 00C6002C 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateFileW                                        7C810800 5 Bytes  JMP 00C60FCA 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreatePipe                                         7C81D83F 5 Bytes  JMP 00C60086 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateNamedPipeW                                   7C82F0DD 5 Bytes  JMP 00C60FAF 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateNamedPipeA                                   7C860CDC 5 Bytes  JMP 00C60000 
.text           C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!WinExec                                            7C86250D 5 Bytes  JMP 00C600CF 
.text           C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyExW                                      77DA6AAF 5 Bytes  JMP 00C40FC3 
.text           C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyExW                                    77DA776C 5 Bytes  JMP 00C40F6F 
.text           C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyExA                                      77DA7852 5 Bytes  JMP 00C40014 
.text           C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyW                                        77DA7946 5 Bytes  JMP 00C40FDE 
.text           C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyExA                                    77DAE9F4 5 Bytes  JMP 00C40036 
.text           C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyA                                        77DAEFC8 5 Bytes  JMP 00C40FEF 
.text           C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyW                                      77DCBA55 2 Bytes  JMP 00C40F9E 
.text           C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyW + 3                                  77DCBA58 2 Bytes  [E7, 88] {OUT 0x88, EAX}
.text           C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyA                                      77DCBCF3 5 Bytes  JMP 00C40025 
.text           C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_wsystem                                             77BF931E 5 Bytes  JMP 00C20027 
.text           C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!system                                               77BF93C7 5 Bytes  JMP 00C20F9C 
.text           C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_creat                                               77BFD40F 5 Bytes  JMP 00C20FD2 
.text           C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_open                                                77BFF566 5 Bytes  JMP 00C20FE3 
.text           C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_wcreat                                              77BFFC9B 5 Bytes  JMP 00C20FB7 
.text           C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_wopen                                               77C00055 5 Bytes  JMP 00C2000C 
.text           C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenA                                       408CC879 5 Bytes  JMP 00C00000 
.text           C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenW                                       408CCEA9 5 Bytes  JMP 00C0001B 
.text           C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenUrlA                                    408D0BD2 5 Bytes  JMP 00C0002C 
.text           C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenUrlW                                    4091B081 5 Bytes  JMP 00C00047 
.text           C:\WINDOWS\Explorer.EXE[1396] WS2_32.dll!socket                                               71A14211 5 Bytes  JMP 00C1000A 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00BE0FE5 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00BE0F70 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00BE0F81 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00BE005B 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00BE0040 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00BE002F 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00BE00B8 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00BE009B 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00BE0F30 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00BE0F55 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00BE00E4 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 00BE0FA8 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00BE0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00BE0080 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00BE0014 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00BE0FC3 
.text           C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00BE00D3 
.text           C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00940040 
.text           C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00940087 
.text           C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00940FE5 
.text           C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 0094001B 
.text           C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00940FCA 
.text           C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00940000 
.text           C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 0094006C 
.text           C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00940051 
.text           C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 0093002C 
.text           C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 0093001B 
.text           C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00930FAB 
.text           C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00930FEF 
.text           C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00930000 
.text           C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00930FD2 
.text           C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenA                               408CC879 5 Bytes  JMP 00910FE5 
.text           C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenW                               408CCEA9 5 Bytes  JMP 00910000 
.text           C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenUrlA                            408D0BD2 5 Bytes  JMP 00910011 
.text           C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenUrlW                            4091B081 5 Bytes  JMP 00910022 
.text           C:\WINDOWS\system32\svchost.exe[1696] WS2_32.dll!socket                                       71A14211 5 Bytes  JMP 00920FEF 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00CE0FE5 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!VirtualProtectEx                           7C801A61 5 Bytes  JMP 00CE007B 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!VirtualProtect                             7C801AD4 5 Bytes  JMP 00CE0F90 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryExW                             7C801AF5 5 Bytes  JMP 00CE0FA1 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryExA                             7C801D53 5 Bytes  JMP 00CE0FB2 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryA                               7C801D7B 5 Bytes  JMP 00CE004A 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00CE0098 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00CE0F50 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 00CE0F13 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateProcessA                             7C80236B 5 Bytes  JMP 00CE0F2E 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!GetProcAddress                             7C80AE40 5 Bytes  JMP 00CE00C7 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryW                               7C80AEEB 5 Bytes  JMP 00CE0FC3 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00CE0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreatePipe                                 7C81D83F 5 Bytes  JMP 00CE0F61 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateNamedPipeW                           7C82F0DD 5 Bytes  JMP 00CE002F 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateNamedPipeA                           7C860CDC 5 Bytes  JMP 00CE0014 
.text           C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00CE0F3F 
.text           C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00CD002C 
.text           C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00CD0FAF 
.text           C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00CD0011 
.text           C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00CD0FE5 
.text           C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00CD006C 
.text           C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00CD0000 
.text           C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00CD0FC0 
.text           C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [F0, 88]
.text           C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00CD003D 
.text           C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_wsystem                                     77BF931E 5 Bytes  JMP 00CC0042 
.text           C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!system                                       77BF93C7 5 Bytes  JMP 00CC0FC1 
.text           C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_creat                                       77BFD40F 5 Bytes  JMP 00CC000C 
.text           C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00CC0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00CC0031 
.text           C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_wopen                                       77C00055 5 Bytes  JMP 00CC0FDE
         

Alt 31.07.2009, 12:55   #15
nixbuh
 
win32.trojandropper.joiner und win32.trojanproxy.ranky - Standard

win32.trojandropper.joiner und win32.trojanproxy.ranky



Code:
ATTFilter
---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                        mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                      Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                     Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                     Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                   Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)

---- EOF - GMER 1.0.15 ----
         
:aplaus:

4 posts später... man is das ding lang *lach*

Antwort

Themen zu win32.trojandropper.joiner und win32.trojanproxy.ranky
ad-aware, adobe, bho, canon, ebanking, explorer, firefox, firewall, gservice, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, löschen, mozilla, neue tabs, object, opera, phishing, plug-in, pop-up-blocker, programme, siteadvisor, software, solution, spyware, super, superantispyware, trojaner, windows, windows xp



Ähnliche Themen: win32.trojandropper.joiner und win32.trojanproxy.ranky


  1. MSE findet TrojanDropper:Win32/Rotbrow.A/E/C/D
    Plagegeister aller Art und deren Bekämpfung - 16.09.2014 (2)
  2. Windows 7 - TrojanDropper:Win32/Rotbrow.M bzw. L
    Log-Analyse und Auswertung - 15.01.2014 (9)
  3. TrojanDropper: Win32/Rotbrow.A-D
    Log-Analyse und Auswertung - 07.11.2013 (3)
  4. Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (11)
  5. TrojanDropper:win32/srvdrop.A
    Plagegeister aller Art und deren Bekämpfung - 16.12.2011 (14)
  6. TrojanDropper:Win32/Sirefef.B --- Was tun?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2011 (7)
  7. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  8. TrojanDropper:Win32/MessengerSkinner
    Log-Analyse und Auswertung - 08.11.2008 (0)
  9. TrojanDropper:Win32/Mes
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (1)
  10. virus trojandropper.win32.vb.ct
    Plagegeister aller Art und deren Bekämpfung - 29.11.2004 (12)
  11. TrojanDropper.Win32.exebund gefunden!
    Plagegeister aller Art und deren Bekämpfung - 25.11.2004 (6)
  12. TrojanDropper.Win32.Agent.k im Media Player
    Log-Analyse und Auswertung - 26.10.2004 (14)
  13. TrojanDownloader.Win32. IstBar.s + TrojanDropper.Win32. Dialex
    Plagegeister aller Art und deren Bekämpfung - 28.01.2004 (9)
  14. TrojanDropper.Win32.RunMe
    Plagegeister aller Art und deren Bekämpfung - 05.11.2003 (3)
  15. TrojanDropper:Win32/Small.gen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2003 (2)
  16. TrojanDropper.win32/softwar
    Plagegeister aller Art und deren Bekämpfung - 23.03.2003 (6)
  17. TrojanDropper.Win32.Launch
    Plagegeister aller Art und deren Bekämpfung - 01.02.2003 (0)

Zum Thema win32.trojandropper.joiner und win32.trojanproxy.ranky - Leider hab ich wohl ein paar kleinere (oder auch größere?) Probleme mit kleinen Schmarotzern. Erkannt hat er mir win32.trojanproxy.ranky schon vor einigen Wochen über adaware. hab eben entdeckt das ihr - win32.trojandropper.joiner und win32.trojanproxy.ranky...
Archiv
Du betrachtest: win32.trojandropper.joiner und win32.trojanproxy.ranky auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.