Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: sysrest.sys (Rootkit.Agent) von MBAM gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.08.2009, 10:09   #1
Hal
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



Ich habe vorgestern mal bei dem Rechner einer Freundin rein routinehalber MBAM laufen lassen. Viel kam dabei nicht heraus, allerdings machte mich der Eintrag sysrest.sys (Rootkit.Agent) stutzig. Habe dann mal ein wenig gegoogelt (u.a. auch bei Threatexpert reingeschaut) und gesehen, dass das wohl ein sehr übler Zeitgenosse zu sein scheint. Die Datei selbst konnte ich nicht mehr finden, allerdings jede Menge Registry Keys, die durch ihn verursacht werden sollen.

Ich habe dann mal in einem Anflug von heroischem Selbsteifer und wider besserem Wissen Combofix ausgeführt, was dann fleißig zugeschlagen hat. Nun, das Log ist beigefügt. Bin nur froh, dass das Dingen überhaupt noch was auf der Festplatte gelassen hat...

Besteht jetzt noch weiterer Bedarf?

- Hal.

P.S.: RSIT bricht bei der Ausführung von HijackThis mit einer Fehlermeldung ab.


MBAM Log (Funde wurden gelöscht):
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Service Pack 3

12.08.2009 13:51:54
mbam-log-2009-08-12 (13-51-47).txt

Scan type: Full Scan (C:\|)
Objects scanned: 204187
Time elapsed: 3 hour(s), 30 minute(s), 44 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
         
Combofix Log:
Code:
ATTFilter
ComboFix 09-08-10.06 - wehner 13.08.2009 16:23.1.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.272 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\grossmann\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_ISDEL.EXE
C:\_SETUP.DLL
C:\mymm_win.dll
C:\mymmpstr.dll
c:\programme\INSTALL.LOG
c:\windows\btish.dat
c:\windows\bxhlx.dat
c:\windows\cqgdo.dat
c:\windows\dcbba.dat
c:\windows\dhznu.dat
c:\windows\djdmh.dat
c:\windows\dsqou.dat
c:\windows\eigbv.dat
c:\windows\epfac.dat
c:\windows\ezqkl.dat
c:\windows\foxen.dat
c:\windows\hrqvf.dat
c:\windows\hvkzf.dat
c:\windows\idnap.dat
c:\windows\ihhuy.dat
c:\windows\Installer\1f83d6.msi
c:\windows\Installer\d2459f.msi
c:\windows\Installer\de99f5.msi
c:\windows\itsjq.dat
c:\windows\jbnpg.dat
c:\windows\jfpfe.dat
c:\windows\jofkm.dat
c:\windows\kbfpp.dat
c:\windows\kbtnt.dat
c:\windows\n_dexczk.dat
c:\windows\n_lnsdua.dat
c:\windows\n_ytwztu.dat
c:\windows\ngkji.dat
c:\windows\owbvp.dat
c:\windows\oxqyu.dat
c:\windows\pnemf.dat
c:\windows\qulon.dat
c:\windows\qwgzn.dat
c:\windows\rfrni.dat
c:\windows\rnyfq.dat
c:\windows\system32\addxv.dll
c:\windows\system32\adqcy.dll
c:\windows\system32\ajndq.dat
c:\windows\system32\akail.dll
c:\windows\system32\alclm.dll
c:\windows\system32\apgww.dll
c:\windows\system32\appiz.dll
c:\windows\system32\atltu.dll
c:\windows\system32\bcljq.dll
c:\windows\system32\bdsqu.dll
c:\windows\system32\brozb.dll
c:\windows\system32\btzvw.dll
c:\windows\system32\buiqh.dll
c:\windows\system32\buqys.dll
c:\windows\system32\bviri.dll
c:\windows\system32\byfrg.dll
c:\windows\system32\cbjop.dat
c:\windows\system32\cfjmt.dll
c:\windows\system32\civqd.dll
c:\windows\system32\ckkiw.dat
c:\windows\system32\cmuiz.dll
c:\windows\system32\cmxbs.dll
c:\windows\system32\cnsku.dat
c:\windows\system32\cotam.dat
c:\windows\system32\cueho.dat
c:\windows\system32\cufha.dll
c:\windows\system32\cytld.dll
c:\windows\system32\czvwj.dll
c:\windows\system32\dcwww.dll
c:\windows\system32\dedlk.dll
c:\windows\system32\dfunf.dll
c:\windows\system32\diumo.dll
c:\windows\system32\dizae.dll
c:\windows\system32\dksoo.dll
c:\windows\system32\dmsyq.dll
c:\windows\system32\dmucf.dll
c:\windows\system32\drjzs.dll
c:\windows\system32\dtrzi.dll
c:\windows\system32\dvanl.dll
c:\windows\system32\dvzlv.dll
c:\windows\system32\dxcrw.dll
c:\windows\system32\earab.dll
c:\windows\system32\eatxv.dat
c:\windows\system32\ebzdy.dll
c:\windows\system32\ejxqs.dat
c:\windows\system32\enyne.dat
c:\windows\system32\etbos.dll
c:\windows\system32\exufe.dll
c:\windows\system32\fbadd.dll
c:\windows\system32\fgwah.dll
c:\windows\system32\fiekp.dll
c:\windows\system32\fjvco.dll
c:\windows\system32\fkson.dat
c:\windows\system32\flkbw.dat
c:\windows\system32\flqyw.dll
c:\windows\system32\fnllw.dat
c:\windows\system32\fonjh.dll
c:\windows\system32\fptog.dll
c:\windows\system32\frnqz.dll
c:\windows\system32\fyuyp.dll
c:\windows\system32\fznvl.dat
c:\windows\system32\fzpnb.dll
c:\windows\system32\ghgvh.dll
c:\windows\system32\ghmjc.dat
c:\windows\system32\girex.dll
c:\windows\system32\gnnpo.dat
c:\windows\system32\gojgi.dll
c:\windows\system32\goofy.dll
c:\windows\system32\gqjws.dll
c:\windows\system32\grcbx.dll
c:\windows\system32\grhpt.dll
c:\windows\system32\gtalt.dll
c:\windows\system32\gzcvq.dll
c:\windows\system32\haqev.dll
c:\windows\system32\hbxqh.dll
c:\windows\system32\hgcox.dll
c:\windows\system32\hggnv.dll
c:\windows\system32\hhklp.dll
c:\windows\system32\hixnf.dll
c:\windows\system32\hmiba.dat
c:\windows\system32\hmubo.dll
c:\windows\system32\homly.dll
c:\windows\system32\hoqgz.dll
c:\windows\system32\hqkou.dll
c:\windows\system32\hqvgz.dll
c:\windows\system32\hsqcn.dll
c:\windows\system32\huxfq.dll
c:\windows\system32\hvihw.dll
c:\windows\system32\ibbqn.dat
c:\windows\system32\icsdq.dat
c:\windows\system32\igxca.dll
c:\windows\system32\iinsh.dll
c:\windows\system32\isqru.dll
c:\windows\system32\iuqcf.dll
c:\windows\system32\iyodj.dat
c:\windows\system32\jdcid.dll
c:\windows\system32\jfdwm.dll
c:\windows\system32\jfhlr.dll
c:\windows\system32\jgxhf.dll
c:\windows\system32\jhave.dll
c:\windows\system32\jlqfr.dat
c:\windows\system32\jwrma.dll
c:\windows\system32\jwsqe.dll
c:\windows\system32\kcgzb.dll
c:\windows\system32\khqaf.dll
c:\windows\system32\kormb.dll
c:\windows\system32\kqqss.dll
c:\windows\system32\krjsz.dat
c:\windows\system32\kungg.dll
c:\windows\system32\kzncq.dll
c:\windows\system32\lafjk.dat
c:\windows\system32\lcldw.dll
c:\windows\system32\lfels.dll
c:\windows\system32\lmobi.dll
c:\windows\system32\lpnvr.dat
c:\windows\system32\lueit.dll
c:\windows\system32\luucj.dll
c:\windows\system32\lwktw.dll
c:\windows\system32\lylmy.dll
c:\windows\system32\mfazp.dll
c:\windows\system32\mmzhz.dll
c:\windows\system32\mrbqy.dll
c:\windows\system32\mrnlh.dll
c:\windows\system32\mskdt.dll
c:\windows\system32\msqm.exe
c:\windows\system32\mukgr.dll
c:\windows\system32\myvae.dll
c:\windows\system32\naxpt.dll
c:\windows\system32\nefid.dat
c:\windows\system32\nfypf.dll
c:\windows\system32\njcom.dll
c:\windows\system32\nkwxr.dll
c:\windows\system32\nnilr.dll
c:\windows\system32\nqfuc.dll
c:\windows\system32\nqsfa.dat
c:\windows\system32\nvmwd.dll
c:\windows\system32\nztgv.dll
c:\windows\system32\nzxap.dll
c:\windows\system32\oarew.dll
c:\windows\system32\odiak.dat
c:\windows\system32\ohran.dll
c:\windows\system32\okxtq.dll
c:\windows\system32\oluhx.dat
c:\windows\system32\omlqa.dll
c:\windows\system32\onfze.dll
c:\windows\system32\opvqv.dll
c:\windows\system32\oqaer.dll
c:\windows\system32\ospxv.dll
c:\windows\system32\ouwjw.dll
c:\windows\system32\oypcc.dll
c:\windows\system32\oyran.dll
c:\windows\system32\pamfs.dat
c:\windows\system32\pcztd.dll
c:\windows\system32\peqnu.dat
c:\windows\system32\piwip.dat
c:\windows\system32\pnstm.dll
c:\windows\system32\psakm.dll
c:\windows\system32\pters.dll
c:\windows\system32\pxoly.dll
c:\windows\system32\pymuo.dll
c:\windows\system32\qckmc.dll
c:\windows\system32\qigji.dll
c:\windows\system32\qkgrr.dll
c:\windows\system32\qmyjc.dll
c:\windows\system32\qpdkw.dll
c:\windows\system32\qpezp.dat
c:\windows\system32\qukwz.dll
c:\windows\system32\quono.dll
c:\windows\system32\qvsvt.dll
c:\windows\system32\qxgnt.dll
c:\windows\system32\qyuwn.dll
c:\windows\system32\qzesb.dll
c:\windows\system32\rccip.dll
c:\windows\system32\rcrlc.dll
c:\windows\system32\rforr.dll
c:\windows\system32\rgsfz.dll
c:\windows\system32\rkjft.dll
c:\windows\system32\rlltc.dll
c:\windows\system32\rmbet.dll
c:\windows\system32\ruzow.dll
c:\windows\system32\rwrln.dll
c:\windows\system32\sawfx.dll
c:\windows\system32\sbdau.dll
c:\windows\system32\scsel.dll
c:\windows\system32\scunr.dll
c:\windows\system32\setup.ini
c:\windows\system32\seysk.dll
c:\windows\system32\shyzk.dll
c:\windows\system32\sigej.dll
c:\windows\system32\sivth.dll
c:\windows\system32\sjaae.dat
c:\windows\system32\sjjnc.dll
c:\windows\system32\slpsy.dll
c:\windows\system32\spsdj.dat
c:\windows\system32\sudlt.dll
c:\windows\system32\swjfq.dll
c:\windows\system32\sxgcp.dll
c:\windows\system32\szgew.dll
c:\windows\system32\tdnmm.dll
c:\windows\system32\tieed.dll
c:\windows\system32\tkcih.dll
c:\windows\system32\tposl.dll
c:\windows\system32\twmzz.dat
c:\windows\system32\txedx.dll
c:\windows\system32\uawjd.dll
c:\windows\system32\uaykc.dll
c:\windows\system32\uctqm.dat
c:\windows\system32\ugydc.dll
c:\windows\system32\uhogt.dll
c:\windows\system32\uhwqa.dll
c:\windows\system32\uivpp.dll
c:\windows\system32\uktpm.dll
c:\windows\system32\unqnb.dll
c:\windows\system32\uocuq.dll
c:\windows\system32\uqqsb.dll
c:\windows\system32\urcvq.dll
c:\windows\system32\uryaz.dll
c:\windows\system32\uvafl.dll
c:\windows\system32\vargx.dll
c:\windows\system32\vaufw.dll
c:\windows\system32\vbdcz.dll
c:\windows\system32\vcbro.dll
c:\windows\system32\vgcde.dll
c:\windows\system32\vhnte.dll
c:\windows\system32\vjeli.dll
c:\windows\system32\vlpvp.dll
c:\windows\system32\vogbt.dll
c:\windows\system32\vpvsu.dll
c:\windows\system32\vqlzu.dll
c:\windows\system32\vraga.dll
c:\windows\system32\vrfve.dll
c:\windows\system32\vwxft.dll
c:\windows\system32\vxtcp.dll
c:\windows\system32\vxuwx.dll
c:\windows\system32\vynqp.dll
c:\windows\system32\wbdch.dll
c:\windows\system32\wbref.dll
c:\windows\system32\wdmuo.dll
c:\windows\system32\weily.dll
c:\windows\system32\wfebo.dll
c:\windows\system32\whkaf.dll
c:\windows\system32\whsof.dll
c:\windows\system32\wklyw.dll
c:\windows\system32\wlxhh.dll
c:\windows\system32\wmndq.dat
c:\windows\system32\wofnt.dat
c:\windows\system32\wonrj.dat
c:\windows\system32\wvfir.dll
c:\windows\system32\wxtko.dll
c:\windows\system32\xaqqw.dll
c:\windows\system32\xdmqs.dll
c:\windows\system32\xgkpa.dll
c:\windows\system32\xhpox.dat
c:\windows\system32\xicmz.dat
c:\windows\system32\xtlqe.dll
c:\windows\system32\xvpgn.dll
c:\windows\system32\xzwmi.dat
c:\windows\system32\yjtqm.dll
c:\windows\system32\ylfcm.dll
c:\windows\system32\ynyjr.dll
c:\windows\system32\yrhjo.dll
c:\windows\system32\yxjfk.dll
c:\windows\system32\zaguz.dat
c:\windows\system32\zbrly.dll
c:\windows\system32\zlfkg.dll
c:\windows\system32\zltaz.dll
c:\windows\system32\zxevl.dll
c:\windows\twuss.dat
c:\windows\ukqhy.dat
c:\windows\uzjcr.dat
c:\windows\veimp.dat
c:\windows\vnrzr.dat
c:\windows\wfhum.dat
c:\windows\wrqvi.dat
c:\windows\xoevl.dat
c:\windows\xoyay.dat
c:\windows\ydasc.dat
c:\windows\zcfzk.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Service_sysrest.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-07-13 bis 2009-08-13  ))))))))))))))))))))))))))))))
.

2009-08-13 11:09 . 2008-04-14 08:42	211968	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON SX100 Series\Language\0407.E_DI0EEE.DLL
2009-08-12 13:12 . 2009-08-12 13:12	--------	d-----w-	c:\dokumente und einstellungen\grossmann\Anwendungsdaten\Foxit
2009-08-12 13:12 . 2009-08-12 13:12	--------	d-----w-	c:\programme\Foxit Software

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 11:59 . 2009-04-06 09:28	117760	----a-w-	c:\dokumente und einstellungen\grossmann\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-13 11:56 . 2009-04-06 09:27	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-08-12 08:01 . 2008-09-17 06:41	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-12 08:01 . 2009-04-06 10:38	3942047	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-08-11 06:27 . 2009-04-02 09:40	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-11 05:56 . 2008-03-24 11:43	--------	d-----w-	c:\programme\Mozilla Thunderbird
2009-08-03 11:36 . 2008-09-17 06:41	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36 . 2008-09-17 06:41	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-21 14:15 . 2008-10-29 10:54	--------	d-----w-	c:\programme\Trillian
2009-07-03 16:55 . 2005-04-27 14:41	915456	----a-w-	c:\windows\system32\wininet.dll
2009-07-01 12:04 . 2009-07-01 12:04	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Softland
2009-07-01 12:02 . 2009-07-01 12:02	--------	d-----w-	c:\programme\Softland
2009-06-30 12:21 . 2009-06-30 12:01	--------	d-----w-	c:\programme\Canon
2009-06-16 14:36 . 1979-12-31 23:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 1979-12-31 23:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-03 19:09 . 2003-05-30 07:00	1296896	----a-w-	c:\windows\system32\quartz.dll
2005-06-02 22:11 . 2005-06-02 22:11	11592	--sha-w-	c:\windows\fvwjm.dat
2005-07-08 10:49 . 2005-07-08 10:49	3567	--sha-w-	c:\windows\jumkl.dat
2005-06-15 02:28 . 2005-06-15 02:28	3567	--sha-w-	c:\windows\ojiwm.dat
2005-01-25 09:15 . 2005-01-25 09:15	3547	--sha-w-	c:\windows\system32\cdaxs.dat
2005-01-01 15:37 . 2005-01-01 15:37	11592	--sha-w-	c:\windows\system32\fdxek.dat
2005-01-23 03:53 . 2005-01-23 03:53	11592	--sha-w-	c:\windows\system32\glvut.dat
2007-04-05 10:10 . 2007-04-05 10:06	848	--sha-w-	c:\windows\system32\KGyGaAvL.sys
2008-09-12 06:03 . 2008-08-14 14:07	2985504	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2008-09-12 06:03 . 2008-08-14 14:07	180256	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AttuneClientEngine
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CMESys
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpl32ver
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Horny_de
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MemoryMeter
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nscntrl
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-ftsh10
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-gays33
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd102
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd12
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd207
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd224
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd438
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd465
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd520
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen247
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen321
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen98
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen99
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power Scan
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SafeSearch
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMrhccf3j0el6r
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAntispyware2008

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Sophos Message Router"=2 (0x2)
"Sophos Agent"=2 (0x2)
"sdCoreService"=3 (0x3)
"sdAuxService"=3 (0x3)
"MDM"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"AVP"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [23.03.2009 14:07 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [23.03.2009 14:07 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.04.2009 11:40 108289]
R2 CAPI20;Eumex 404PC;c:\windows\system32\drivers\Capi20.sys [09.08.2002 10:51 237872]
R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [18.09.2001 16:46 38480]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [23.03.2009 14:07 7408]
S4 FWIEMQ;FWIEMQ;c:\dokume~1\GROSSM~1\LOKALE~1\Temp\FWIEMQ.exe --> c:\dokume~1\GROSSM~1\LOKALE~1\Temp\FWIEMQ.exe [?]
S4 PWCUH;PWCUH;c:\dokume~1\GROSSM~1\LOKALE~1\Temp\PWCUH.exe --> c:\dokume~1\GROSSM~1\LOKALE~1\Temp\PWCUH.exe [?]
S4 TXVJAP;TXVJAP;c:\dokume~1\GROSSM~1\LOKALE~1\Temp\TXVJAP.exe --> c:\dokume~1\GROSSM~1\LOKALE~1\Temp\TXVJAP.exe [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SASDIFSV

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-sws - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &Google-Suche
IE: &Ins Deutsche übersetzen
IE: Im Cache gespeicherte Seite
IE: Verweisseiten
IE: Ähnliche Seiten
TCP: {8DED008E-B5BB-497C-AC89-FD5C0474AD0E} = 194.25.2.129
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\dokumente und einstellungen\grossmann\Anwendungsdaten\Mozilla\Firefox\Profiles\qerlegu3.Standard-Benutzer\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 16:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\LPTENUM\KyoceraFS-920\4&14ab428d&0&LPT1.4]
@Denied: (C D) (Everyone)
"DeviceDesc"="Kyocera FS-920"
"LocationInformation"="LPT1.4"
"Capabilities"=dword:00000040
"ConfigFlags"=dword:00000000
"HardwareID"=multi:"LPTENUM\\KyoceraFS-9205AA3\00KyoceraFS-9205AA3\00\00"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(600)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nikon\NkView\MLCamView.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-13 17:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-13 15:10

Vor Suchlauf: 1.668.992.512 Bytes frei
Nach Suchlauf: 1.859.770.880 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

506	--- E O F ---	2009-07-29 11:06
         

Alt 14.08.2009, 10:45   #2
kira
/// Helfer-Team
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



Hallo und Herzlich Willkommen!

So wie es aussieht, das System extrem verseucht. Eine Säuberung ist sehr aufwendig. Es ist nicht sicher, ob es vollständig gelingt dies zu säubern und ob es danach auch wieder einwandfrei läuft. Dir eine Menge Zeit und Ärger zu ersparen (nicht wochenlang herumbasteln, und dann festzustellen, dass es doch nicht geht), mache eine Datensicherung der für dich wichtigen persönlichen Dateien (aber vor dem zurückspielen zur Vorsicht kannst du dein System mit ein paar - Kostenlose Online Scanner - Anleitungen - prüfen) und setze dein System neu auf.
Tipps: leitung: Neuaufsetzen des Systems + Absicherung

gruß
Coverflow
__________________


Alt 14.08.2009, 10:55   #3
Hal
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



Na, das nenn' ich doch mal prompte Bedienung. Eine ähnliche Antwort habe ich erwartet.

Um ganz ehrlich zu sein, Coverflow, ich gehöre zu den gefühlten 90% die lieber den unsicheren und zeitaufwendigeren Weg der Bereinigung gehen. An mir soll es also nicht liegen.

Ich habe aber vollstes Verständnis dafür, wenn DIR das zu aufwendig ist. Ist ja nicht so, dass ich in einem kostenlosen Support-Forum auch noch Ansprüche stelle.

Falls du die Mühen nicht scheust, lass es mich wissen und ich plane die nächsten 2 Wochen für Scans ein.

- Hal.
__________________

Alt 14.08.2009, 22:01   #4
kira
/// Helfer-Team
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



Wir können es versuchen, aber ohne Garantie! Die einzige Voraussetzung ist lediglich, dass dein System auch `mitspielt`...

1.
Malwarebytes' Anti-Malware: "No action taken."? - Funde nicht löschen lassen?

2.
- Leere bitte alle Quarantäne Ordner (Antivirus bzw Anti-Spy-Programm etc)

- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

3.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Achtung!:
Wenn Gmer nicht ausgeführt werden kann (ein Rootkit kann es verhindern):
versuche gmer.exe umbenennen und dann ausführen
Wähle eine beliebige Dateiname, die Endung soll *.com sein!

4.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread
Achtung!:
Wenn RootRepeal nicht ausgeführt werden kann (ein Rootkit kann es verhindern):
versuche rootrepeal.exe umbenennen und dann ausführen
Wähle eine beliebige Dateiname, die Endung soll *.com sein!

5.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

Alt 16.08.2009, 15:38   #5
Hal
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



Sorry für die späte Rückmeldung, ich habe am Wochenende mit der Family einen Kurzurlaub gemacht.

Was MBAM betrifft, die Funde habe ich löschen lassen. Ich habe erst das Log erstellen lassen, danach die Funde gelöscht (sehr schlau, ich weiß ). Wenn du möchtest, kann ich es aber nochmal durchlaufen lassen.

Alles Weitere dann morgen.

- Hal.


Alt 17.08.2009, 14:24   #6
Hal
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



MBAM-Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Service Pack 3

17.08.2009 11:46:18
mbam-log-2009-08-17 (11-46-18).txt

Scan type: Full Scan (C:\|)
Objects scanned: 194508
Time elapsed: 3 hour(s), 0 minute(s), 11 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
         
Gmer-Log:
Code:
ATTFilter
GMER 1.0.15.15020 [lwvoje17.exe] - http://www.gmer.net
Rootkit scan 2009-08-17 14:56:12
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            F8BBAF26                  ZwCreateKey
SSDT            F8BBAF1C                  ZwCreateThread
SSDT            F8BBAF2B                  ZwDeleteKey
SSDT            F8BBAF35                  ZwDeleteValueKey
SSDT            F8BBAF3A                  ZwLoadKey
SSDT            F8BBAF08                  ZwOpenProcess
SSDT            F8BBAF0D                  ZwOpenThread
SSDT            F8BBAF44                  ZwReplaceKey
SSDT            F8BBAF3F                  ZwRestoreKey
SSDT            F8BBAF30                  ZwSetValueKey
SSDT            F8BBAF17                  ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
RootRepeal bricht mit einer Exception-Fehlermeldung ab. Steht auch im Crash-Log:
Code:
ATTFilter
ROOTREPEAL CRASH REPORT
-------------------------
Windows Version: Windows XP SP3
Exception Code: 0xc0000094
Exception Address: 0x004eca19
         
Wenn ich der RootRepeal.exe einen Zufallsnamen gebe und dann nochmal starte, kommt die Fehlermeldung "Could not load driver (0xc0000035)".

Kaspersky zickt rum. Ich starte den Scanner, akzeptiere die Lizenzbedingungen, danach sagt mir der IE, dass die Seite das Add-On "Kaspersky Online Scanner" installieren möchte. Ich klicke in die entsprechende Zeile, dann auf "Dieses Add-On für alle Benutzer des Computers installieren", und lande dann wieder auf der Seite mit den Lizenzbedingungen, dieses Mal aber ohne "Akzeptieren"-Button, sprich: Endstation.

Soll ich einen anderen Online-Scanner ausprobieren?

- Hal.

Alt 17.08.2009, 14:30   #7
kira
/// Helfer-Team
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



hi

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

Alt 17.08.2009, 15:08   #8
Hal
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



1) HijackThis-Log
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:55, on 17.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
F:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1239086323329&h=b7136c43bd2e8b47ccab2a09db2bd8b3/&filename=jinstall-6u13-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DED008E-B5BB-497C-AC89-FD5C0474AD0E}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{8DED008E-B5BB-497C-AC89-FD5C0474AD0E}: NameServer = 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{8DED008E-B5BB-497C-AC89-FD5C0474AD0E}: NameServer = 194.25.2.129
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 2721 bytes
         
Punkt 2) war bereits erledigt. Die grausamen Windows-Einstellungen bei der Ordner-Ansicht stelle ich meistens sofort um, wenn ich an einen Rechner komme.

3) Filelist:
Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 745A-84F5

 Verzeichnis von C:\

17.08.2009  15:37                43 filelist.txt
17.08.2009  08:21       536.399.872 hiberfil.sys
17.08.2009  08:21       402.653.184 pagefile.sys
13.08.2009  17:10            21.382 ComboFix.txt
13.08.2009  16:15               281 boot.ini
12.06.2009  12:21               268 sqmdata07.sqm
12.06.2009  12:21               244 sqmnoopt07.sqm
10.06.2009  15:25               268 sqmdata06.sqm
10.06.2009  15:25               244 sqmnoopt06.sqm
10.06.2009  09:35               268 sqmdata05.sqm
10.06.2009  09:35               244 sqmnoopt05.sqm
07.04.2009  12:23               268 sqmdata04.sqm
07.04.2009  12:23               244 sqmnoopt04.sqm
07.04.2009  08:27               268 sqmdata03.sqm
07.04.2009  08:27               244 sqmnoopt03.sqm
06.04.2009  12:31               268 sqmdata02.sqm
06.04.2009  12:31               244 sqmnoopt02.sqm
06.04.2009  11:30               211 Boot.bak
06.04.2009  11:10               268 sqmdata01.sqm
06.04.2009  11:10               244 sqmnoopt01.sqm
06.04.2009  11:06               268 sqmdata00.sqm
06.04.2009  11:06               244 sqmnoopt00.sqm
02.04.2009  12:45               268 sqmdata19.sqm
02.04.2009  12:45               244 sqmnoopt19.sqm
02.04.2009  11:36               268 sqmdata18.sqm
02.04.2009  11:36               244 sqmnoopt18.sqm
              73 Datei(en)    982.312.256 Bytes
               0 Verzeichnis(se),  2.103.340.544 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 745A-84F5

 Verzeichnis von C:\WINDOWS

17.08.2009  15:02         1.781.237 WindowsUpdate.log
17.08.2009  08:22                 0 0.log
17.08.2009  08:22               159 wiadebug.log
17.08.2009  08:22                50 wiaservc.log
17.08.2009  08:21             2.048 bootstat.dat
14.08.2009  12:55            32.558 SchedLgU.Txt
13.08.2009  16:55               227 system.ini
13.08.2009  15:14               297 gmer.ini
11.08.2009  10:45               747 win.ini
08.08.2009  12:10           216.064 PEV.exe
20.04.2009  12:56            31.232 NIRCMD.exe
29.10.2008  12:08                80 gmer_uninstall.cmd
29.10.2008  12:08           884.736 gmer.dll
27.10.2008  11:36                 0 006764_.tmp
16.09.2008  08:23            14.882 durow.scr
15.09.2008  08:17            10.754 savyf.dat
12.09.2008  08:16            15.277 iduwoqag.lib
12.09.2008  08:16            13.742 haluwycosy.reg
12.09.2008  08:16            15.619 rarufolevi.ban
14.08.2008  19:01                 0 Sti_Trace.log
11.08.2008  13:30           316.640 WMSysPr9.prx
17.04.2008  22:13           811.008 gmer.exe
14.04.2008  04:23           288.768 winhlp32.exe
14.04.2008  04:23            32.866 slrundll.exe
14.04.2008  04:22           153.600 regedit.exe
14.04.2008  04:22            70.144 notepad.exe
14.04.2008  04:22            10.752 hh.exe
14.04.2008  04:22         1.036.800 explorer.exe
14.04.2008  04:22            50.688 twain_32.dll
24.03.2008  19:37               200 RtlRack.ini
             687 Datei(en)     21.618.439 Bytes
               0 Verzeichnis(se),  2.103.305.728 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 745A-84F5

 Verzeichnis von C:\WINDOWS\system

14.04.2008  04:23           146.944 winspool.drv
              26 Datei(en)        938.587 Bytes
               0 Verzeichnis(se),  2.103.307.776 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 745A-84F5

 Verzeichnis von C:\WINDOWS\system32

17.08.2009  08:23            12.262 wpa.dbl
05.08.2009  10:59           206.336 mswebdvd.dll
30.07.2009  02:49        24.281.536 MRT.exe
19.07.2009  18:41        11.067.392 ieframe.dll
19.07.2009  15:11         5.937.152 mshtml.dll
17.07.2009  21:01            58.880 atl.dll
13.07.2009  23:43           286.208 wmpdxm.dll
13.07.2009  23:43        10.841.088 wmp.dll
03.07.2009  18:55           206.848 occache.dll
03.07.2009  18:55           915.456 wininet.dll
03.07.2009  18:55         1.208.832 urlmon.dll
03.07.2009  18:55           594.432 msfeeds.dll
03.07.2009  18:55            55.296 msfeedsbs.dll
03.07.2009  18:55            25.600 jsproxy.dll
03.07.2009  18:55         1.469.440 inetcpl.cpl
03.07.2009  18:55         1.985.536 iertutil.dll
03.07.2009  18:55           184.320 iepeers.dll
03.07.2009  18:55           386.048 iedkcs32.dll
03.07.2009  13:01           173.056 ie4uinit.exe
29.06.2009  10:40            57.667 ieuinit.inf
16.06.2009  16:36           119.808 t2embed.dll
16.06.2009  16:36            81.920 fontsub.dll
15.06.2009  12:43            78.848 telnet.exe
15.06.2009  12:43            82.944 tlntsess.exe
10.06.2009  16:13            85.504 avifil32.dll
10.06.2009  12:06            91.088 FNTCACHE.DAT
10.06.2009  09:19         2.066.432 mstscax.dll
10.06.2009  08:14           132.096 wkssvc.dll
03.06.2009  21:09         1.296.896 quartz.dll
15.05.2009  14:45            21.192 dopdfmn6.dll
15.05.2009  14:45            18.632 dopdfmi6.dll
07.05.2009  17:32           348.160 localspl.dll
29.04.2009  06:41           133.120 extmgr.dll
19.04.2009  21:46         1.847.296 win32k.sys
15.04.2009  16:51           585.216 rpcrt4.dll
15.04.2009  13:48           454.554 perfh009.dat
15.04.2009  13:48            84.784 perfc009.dat
15.04.2009  13:48           473.766 perfh007.dat
15.04.2009  13:48           100.028 perfc007.dat
15.04.2009  13:48         1.128.732 PerfStringBackup.INI
07.04.2009  08:38           148.888 javaws.exe
07.04.2009  08:38           144.792 javaw.exe
07.04.2009  08:38            73.728 javacpl.cpl
07.04.2009  08:38           144.792 java.exe
07.04.2009  08:38           410.984 deploytk.dll
21.03.2009  16:06         1.063.424 kernel32.dll
08.03.2009  14:29         1.302.528 ieframe.dll.mui
08.03.2009  14:29            57.344 msrating.dll.mui
08.03.2009  14:28             2.560 mshta.exe.mui
08.03.2009  14:27             4.096 ie4uinit.exe.mui
08.03.2009  14:27            12.288 advpack.dll.mui
08.03.2009  14:27            81.920 iedkcs32.dll.mui
08.03.2009  04:35           385.024 html.iec
08.03.2009  04:34           236.544 webcheck.dll
08.03.2009  04:34           208.384 WinFXDocObj.exe
08.03.2009  04:34            43.008 licmgr10.dll
08.03.2009  04:34           105.984 url.dll
08.03.2009  04:34           193.536 msrating.dll
08.03.2009  04:33            18.944 corpol.dll
08.03.2009  04:33           726.528 jscript.dll
08.03.2009  04:33           229.376 ieaksie.dll
08.03.2009  04:33           420.352 vbscript.dll
08.03.2009  04:33           125.952 ieakeng.dll
08.03.2009  04:32            72.704 admparse.dll
08.03.2009  04:32           163.840 ieakui.dll
08.03.2009  04:32            36.864 ieudinit.exe
08.03.2009  04:32            55.808 iernonce.dll
08.03.2009  04:32            71.680 iesetup.dll
08.03.2009  04:32           128.512 advpack.dll
08.03.2009  04:32            94.720 inseng.dll
08.03.2009  04:32           611.840 mstime.dll
08.03.2009  04:31            13.312 msfeedssync.exe
08.03.2009  04:31            59.904 icardie.dll
08.03.2009  04:31           348.160 dxtmsft.dll
08.03.2009  04:31           216.064 dxtrans.dll
08.03.2009  04:31            34.816 imgutil.dll
08.03.2009  04:31            46.592 pngfilt.dll
08.03.2009  04:31            66.560 mshtmled.dll
08.03.2009  04:31            48.128 mshtmler.dll
08.03.2009  04:31         1.638.912 mshtml.tlb
08.03.2009  04:31            45.568 mshta.exe
08.03.2009  04:30            66.560 tdc.ocx
08.03.2009  04:22           164.352 ieui.dll
08.03.2009  04:22           156.160 msls31.dll
08.03.2009  04:11           445.952 ieapfltr.dll
06.03.2009  16:19           286.720 pdh.dll
            3325 Datei(en)    617.726.919 Bytes
               0 Verzeichnis(se),  2.103.141.888 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 745A-84F5

 Verzeichnis von C:\WINDOWS\Prefetch

17.08.2009  15:37            11.452 FIND.EXE-0EC32F1E.pf
17.08.2009  15:37            11.466 CMD.EXE-087B4001.pf
17.08.2009  15:37            13.374 VERCLSID.EXE-3667BD89.pf
17.08.2009  15:37            17.136 NOTEPAD.EXE-336351A9.pf
17.08.2009  15:37            57.792 TASKMGR.EXE-20256C55.pf
17.08.2009  15:36            58.986 MBAM.EXE-11D8BBD8.pf
17.08.2009  15:35            55.476 AVCENTER.EXE-1D2DB8A2.pf
17.08.2009  15:35            34.736 AVWSC.EXE-24612965.pf
17.08.2009  15:34            12.738 RUNDLL32.EXE-451FC2C0.pf
17.08.2009  15:25            13.874 ROOTREPEAL.COM-0930D831.pf
17.08.2009  15:25            13.902 JHLKDSDHASD.COM-10BF1BCF.pf
17.08.2009  15:10            82.180 IEXPLORE.EXE-2CA9778D.pf
17.08.2009  15:02            38.224 WMIPRVSE.EXE-28F301A9.pf
17.08.2009  15:02            22.078 WUAUCLT.EXE-399A8E72.pf
17.08.2009  14:59            15.058 JHLKDSDHASD.EXE-181F796E.pf
17.08.2009  14:58            16.846 ROOTREPEAL.EXE-1BED0CFB.pf
17.08.2009  11:54            31.460 LWVOJE17.EXE-2278AB74.pf
17.08.2009  11:49            32.746 LOCATE32.EXE-11018B0F.pf
17.08.2009  11:44            69.568 DFRGNTFS.EXE-269967DF.pf
17.08.2009  11:44            17.104 DEFRAG.EXE-273F131E.pf
17.08.2009  11:44           289.814 Layout.ini
17.08.2009  08:25            29.196 RUNDLL32.EXE-147710F4.pf
17.08.2009  08:24            65.118 UPDATE.EXE-3398FCD6.pf
17.08.2009  08:23            44.572 WGATRAY.EXE-0ED38BED.pf
17.08.2009  08:23           835.992 NTOSBOOT-B00DFAAD.pf
14.08.2009  12:55            20.034 LOGONUI.EXE-0AF22957.pf
14.08.2009  12:52            19.920 CCLEANER.EXE-065E2F3F.pf
14.08.2009  12:51           124.948 OPERA.EXE-24550E7A.pf
14.08.2009  12:47            53.824 MMC.EXE-398DCF39.pf
14.08.2009  12:45            39.200 MSIEXEC.EXE-2F8A8CAE.pf
14.08.2009  12:29            13.214 OPERA_1000_INT_B3_SETUP.EXE-0B5E8802.pf
14.08.2009  12:24            36.112 RUNDLL32.EXE-3295C4DD.pf
14.08.2009  12:19            32.012 TRILLIAN.EXE-302642F0.pf
14.08.2009  12:17            27.516 SUPERANTISPYWARE.EXE-033808EC.pf
14.08.2009  12:17            26.344 MSIE.TMP-081E927E.pf
14.08.2009  12:14            57.692 REVOUNINSTALLER.EXE-061D4878.pf
14.08.2009  12:14            17.996 VSUSETUP.EXE-29ADB382.pf
14.08.2009  12:14            13.354 UNINST.EXE-337963EE.pf
14.08.2009  12:11           139.564 FIREFOX.EXE-1D57670A.pf
14.08.2009  11:11           105.240 WINWORD.EXE-259486DA.pf
14.08.2009  10:12            20.090 MSPAINT.EXE-11CBB631.pf
14.08.2009  10:11            21.098 WEHNER.EXE-33CA9241.pf
14.08.2009  10:10            30.824 RSIT.EXE-2AC02F02.pf
14.08.2009  09:29            69.644 AVNOTIFY.EXE-31D7686A.pf
14.08.2009  09:01            47.680 AVSCAN.EXE-25724B6E.pf
14.08.2009  09:00            47.186 AVGUARD.EXE-16DEE89A.pf
14.08.2009  08:59            16.222 CTFMON.EXE-0E17969B.pf
14.08.2009  08:59            47.562 EXCEL.EXE-3281D776.pf
14.08.2009  08:59            17.602 IMAPI.EXE-0BF740A4.pf
14.08.2009  08:59            53.284 AVGNT.EXE-39CD89BF.pf
14.08.2009  08:58            25.882 USERINIT.EXE-30B18140.pf
14.08.2009  08:58            96.814 EXPLORER.EXE-082F38A9.pf
13.08.2009  17:10            16.990 REGEDIT.EXE-1B606482.pf
13.08.2009  16:11             5.146 HIDEC.EXE-3B166DB3.pf
13.08.2009  16:10             9.372 SWREG.EXE-0937BD77.pf
13.08.2009  16:10            19.076 N.PIF-1B75D06C.pf
13.08.2009  13:09            10.890 E_FBCSEDE.EXE-22628105.pf
13.08.2009  13:08            19.936 DOPDFCL6.EXE-1D8CAD61.pf
13.08.2009  09:24            12.732 DUMPREP.EXE-1B46F901.pf
12.08.2009  15:10             8.620 JQSNOTIFY.EXE-1E60A522.pf
12.08.2009  14:09            68.226 ACRORD32.EXE-153330F0.pf
11.08.2009  07:58             7.476 JAVA.EXE-2167859B.pf
11.08.2009  07:56            82.094 THUNDERBIRD.EXE-031A6371.pf
              64 Datei(en)      3.393.272 Bytes
               0 Verzeichnis(se),  2.103.137.792 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 745A-84F5

 Verzeichnis von C:\WINDOWS\tasks

17.08.2009  08:21                 6 SA.DAT
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se),  2.103.140.864 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 745A-84F5

 Verzeichnis von C:\WINDOWS\Temp

17.08.2009  08:23               409 WGANotify.settings
17.08.2009  08:22               255 WGAErrLog.txt
               2 Datei(en)            664 Bytes
               0 Verzeichnis(se),  2.103.140.352 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 745A-84F5

 Verzeichnis von C:\DOKUME~1\GROSSM~1\LOKALE~1\Temp

14.08.2009  12:22               299 temp.bat
14.08.2009  12:14         1.079.272 VSUSetup.exe
14.08.2009  12:14             4.982 REV3.tmp
               3 Datei(en)      1.084.553 Bytes
               0 Verzeichnis(se),  2.103.139.840 Bytes frei
         
4) CCleaner Install-Liste:
Code:
ATTFilter
Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.1 - Deutsch
ATI Display Driver
AusLogics Disk Defrag
Avance AC'97 Audio
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Color Network ScanGear Ver.2.21
Corel Applications
CorelDRAW 10
Database Engine 1.01
doPDF 6.2  printer
Eumex 404PC
Foxit Reader
HaufeReader
HijackThis 2.0.2
Internet Explorer Q903235
Java(TM) 6 Update 13
Kaspersky Online Scanner
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Data Access Components KB870669
Microsoft Office XP Small Business
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.13)
Mozilla Thunderbird (2.0.0.12)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nikon View Ver.3
Opera 10.00
Revo Uninstaller 1.83
Samsung ML-1520 Series
Security Update für Microsoft .NET Framework 2.0 (KB928365)
Shockwave
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Update für Windows Internet Explorer 8 (KB971180)
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Internet Explorer 8
Windows Live Messenger
Windows Live Sign-in Assistant
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
         
- Hal.

Geändert von Hal (17.08.2009 um 15:56 Uhr) Grund: Ich hätte schwören können, da stand eben noch nichts von HijackThis-Log

Alt 17.08.2009, 21:24   #9
kira
/// Helfer-Team
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



hi

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
Zitat:
O24 - Desktop Component 0: (no name) - (no file)
2.
bei installation gleich sollte man das Tool Rootrepeal umbenennen, aber gut sollte meiner Meinung nach ohne auch gehen
also entferne und lade es Dir erneut herunter. Ganz normal ohne umzubenennen starte erneut (laut Anleitung) -> Log posten

Alt 17.08.2009, 21:42   #10
Hal
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



Zitat:
Zitat von Coverflow Beitrag anzeigen
2.
bei installation gleich sollte man das Tool Rootrepeal umbenennen, aber gut sollte meiner Meinung nach ohne auch gehen
also entferne und lade es Dir erneut herunter. Ganz normal ohne umzubenennen starte erneut (laut Anleitung) -> Log posten
Der Satz ist mir jetzt nicht so ganz klar.

Wenn ich RootRepeal einfach runterladen und ausführen soll, nun, genau das habe ich versucht. RootRepeal.rar runtergeladen, entpackt, Verzeichnis auf den Desktop kopiert und rootrepeal.exe gestartet... mit besagtem Fehler (s. Crash-Log).

Danach in -Zufallsname-.exe oder .com umbenannt mit dem Problem, dass ein Treiber nicht geladen werden konnte.

Soll ich das jetzt einfach nochmal genauso wiederholen? Ich bin nur ein wenig überrascht, da sich doch nichts Wesentliches geändert hat.

Ich bin morgen gegen Spätnachmittag/Abend nochmal an dem Rechner, dann kann es versuchen.

- Hal.

Alt 17.08.2009, 22:14   #11
kira
/// Helfer-Team
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



Zitat:
Zitat von Hal Beitrag anzeigen

Soll ich das jetzt einfach nochmal genauso wiederholen?
nicht umbenennen ja..wenn`s Probleme gibt, dann versuchen wir nicht noch mal

Alt 18.08.2009, 08:42   #12
Hal
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



So, ein wenig früher als erwartet.

Der Eintrag
Code:
ATTFilter
O24 - Desktop Component 0: (no name) - (no file)
         
läßt sich nicht mit HijackThis fixen. Wenn ich fixe und noch einmal scanne oder auch fixe, neustarte und dann noch einmal scanne, erscheint er jedesmal wieder.

An der Situation mit RootRepeal hat sich nichts geändert. Beim Startversuch kommt derselbe Fehler.

- Hal.

Alt 18.08.2009, 14:41   #13
kira
/// Helfer-Team
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



hi

1.
den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
das Malwarebytes deinstallieren
Kaspersky Online Scanner - deinstallieren
Gmer und Rootrepeal entfernen

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
  • [b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

4.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

6.
Gehe in den abgesicherten Modus [F8]
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)
und versuche die Eintrag erneut mit HJT fixen:
Code:
ATTFilter
O24 - Desktop Component 0: (no name) - (no file)
         

Geändert von kira (18.08.2009 um 14:46 Uhr)

Alt 19.08.2009, 11:46   #14
Hal
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



1), 2) und 3) sind erledigt.

4) SASW-Log ist clean:
Code:
ATTFilter
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 08/18/2009 bei 06:49 PM

Version der Applikation : 4.27.1002

Version der Kern-Datenbank : 4060
Version der Spur-Datenbank : 2000

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:55:38

Gescannte Speicherelemente  : 376
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 6896
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 92270
Erfasste Datei-Elemente   : 0
         
5) Kaspersky zickt diesmal nicht. Hier das Log (was mich ahnen läßt, woher die Infektion kam...):
Code:
ATTFilter
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Mittwoch, 19. August 2009 12:24:16
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 19/08/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2660997
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 91792
	Viren gefunden: 14
	Infizierte Objekte gefunden: 34
	Verdächtige Objekte gefunden: 5
	Untersuchungszeit: 03:24:52

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Resoba.de" <resoba@em3.adrom.cc>][Date 11 Apr 2008 23:06:24][Subj Lieber_Herr_Al_Sibai,_wir_erf++llen_Ihre_Tr+ñume]/html	Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Charmaine Tabor" <kfnuosh@blsarchitects.com>][Date 11 Sep 2008 20:47:58][Subj Statement of fees 2008/09]/Fees_2008-2009.zip/Fees_2008-2009.doc.exe	Infizierte Objekte: Worm.Win32.AutoRun.myy	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Charmaine Tabor" <kfnuosh@blsarchitects.com>][Date 11 Sep 2008 20:47:58][Subj Statement of fees 2008/09]/Fees_2008-2009.zip	Infizierte Objekte: Worm.Win32.AutoRun.myy	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "greetingcard.org" <cguthrie@hospicebrazosvalley.org>][Date 26 Sep 2008 23:47:30][Subj You have received an Greeting eCard]/ecard.zip/ecard.exe	Infizierte Objekte: Trojan-Dropper.Win32.Agent.xgg	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "greetingcard.org" <cguthrie@hospicebrazosvalley.org>][Date 26 Sep 2008 23:47:30][Subj You have received an Greeting eCard]/ecard.zip	Infizierte Objekte: Trojan-Dropper.Win32.Agent.xgg	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "ICS Monitoring Team" <shmzcorp@ms25.hinet.net>][Date 28 Sep 2008 09:54:18][Subj Your internet access is going to get suspended]/user-EA49943X-activities.zip/user-EA49943X-activities.exe	Infizierte Objekte: Trojan-Dropper.Win32.Agent.xgg	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "ICS Monitoring Team" <shmzcorp@ms25.hinet.net>][Date 28 Sep 2008 09:54:18][Subj Your internet access is going to get suspended]/user-EA49943X-activities.zip	Infizierte Objekte: Trojan-Dropper.Win32.Agent.xgg	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "greetingcard.org" <slively.883@keykertusa.com>][Date 01 Oct 2008 00:42:03][Subj You have received an Greeting eCard]/ecard.zip/ecard.exe	Infizierte Objekte: Trojan-Spy.Win32.Goldun.bbd	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "greetingcard.org" <slively.883@keykertusa.com>][Date 01 Oct 2008 00:42:03][Subj You have received an Greeting eCard]/ecard.zip	Infizierte Objekte: Trojan-Spy.Win32.Goldun.bbd	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "irwin bennet" <xas10@ruv.sk>][Date 03 Oct 2008 10:28:37][Subj You have received an Greeting eCard]/ecard.zip/ecard.exe	Infizierte Objekte: Trojan-Spy.Win32.Goldun.bbg	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "irwin bennet" <xas10@ruv.sk>][Date 03 Oct 2008 10:28:37][Subj You have received an Greeting eCard]/ecard.zip	Infizierte Objekte: Trojan-Spy.Win32.Goldun.bbg	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "beowulf bengt" <bonilla@seae.com>][Date 08 Oct 2008 02:32:54][Subj Angelina Jolie Free Video]/video.zip/video.exe	Infizierte Objekte: Trojan-Dropper.Win32.Agent.xql	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "beowulf bengt" <bonilla@seae.com>][Date 08 Oct 2008 02:32:54][Subj Angelina Jolie Free Video]/video.zip	Infizierte Objekte: Trojan-Dropper.Win32.Agent.xql	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Microsoft Update Center" <securityassurance@microsoft.com>][Date 11 Oct 2008 03:21:24][Subj Security Update for OS Microsoft Windows]/KB848914.exe	Infizierte Objekte: Trojan-Spy.Win32.Goldun.bce	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Microsoft Customer Service" <customerservice@microsoft.com>][Date 11 Oct 2008 15:29:18][Subj Security Update for OS Microsoft Windows]/KB045749.exe	Infizierte Objekte: Trojan-Spy.Win32.Goldun.bce	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "lee icap" <accounts@bierihearing.com>][Date 23 Oct 2008 19:45:02][Subj New anjelina jolie sex scandal]/anjelina_video.zip/anjelina_video.exe	Infizierte Objekte: Backdoor.Win32.UltimateDefender.tt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "lee icap" <accounts@bierihearing.com>][Date 23 Oct 2008 19:45:02][Subj New anjelina jolie sex scandal]/anjelina_video.zip	Infizierte Objekte: Backdoor.Win32.UltimateDefender.tt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "gian huxford" <aduma@ukiyouth.com>][Date 31 Oct 2008 10:10:09][Subj You have received an eCard]/card.zip/card.exe	Infizierte Objekte: Trojan-PSW.Win32.Agent.lcc	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "gian huxford" <aduma@ukiyouth.com>][Date 31 Oct 2008 10:10:09][Subj You have received an eCard]/card.zip	Infizierte Objekte: Trojan-PSW.Win32.Agent.lcc	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "claiborn rodney" <aznboye415@jetty.net>][Date 11 Nov 2008 01:42:43][Subj Barak Obama sex scandal]/zeland-01.zip/obama_video.exe	Infizierte Objekte: Trojan-Dropper.Win32.Agent.yzp	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "claiborn rodney" <aznboye415@jetty.net>][Date 11 Nov 2008 01:42:43][Subj Barak Obama sex scandal]/zeland-01.zip	Infizierte Objekte: Trojan-Dropper.Win32.Agent.yzp	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Automatic Email Delivery Software" <noreply@stonec.com>][Date 23 Dec 2008 18:39:06]/uuyn.zip/uuyn.txt                                                                                                                                                                                                        .exe	Infizierte Objekte: Trojan.Win32.Patched.af	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Automatic Email Delivery Software" <noreply@stonec.com>][Date 23 Dec 2008 18:39:06]/uuyn.zip	Infizierte Objekte: Trojan.Win32.Patched.af	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "The Post Office" <noreply@stonec.com>][Date 28 Dec 2008 02:27:55][Subj Returned mail: Data format error]/message.zip/message.doc                                                                                                                                                                                                      .scr	Infizierte Objekte: Trojan.Win32.Patched.af	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "The Post Office" <noreply@stonec.com>][Date 28 Dec 2008 02:27:55][Subj Returned mail: Data format error]/message.zip	Infizierte Objekte: Trojan.Win32.Patched.af	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Jimmie Dow" <annis@gmail.com>][Date 27 Mar 2009 06:18:34][Subj DHL Tracking number #1F87W7588235AEE]/dhl_n756512.zip/dhl_n756512.exe	Infizierte Objekte: Trojan.Win32.Agent.bxlf	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Jimmie Dow" <annis@gmail.com>][Date 27 Mar 2009 06:18:34][Subj DHL Tracking number #1F87W7588235AEE]/dhl_n756512.zip	Infizierte Objekte: Trojan.Win32.Agent.bxlf	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Emil Weir" <anl.ee@columbusit.com>][Date 24 Apr 2009 14:42:58][Subj WorldPay CARD transaction Confirmation]/WorldPay_TRANS_8651.zip/WorldPay_TRANS_8651.exe	Infizierte Objekte: Trojan-Spy.Win32.Zbot.sot	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "Emil Weir" <anl.ee@columbusit.com>][Date 24 Apr 2009 14:42:58][Subj WorldPay CARD transaction Confirmation]/WorldPay_TRANS_8651.zip	Infizierte Objekte: Trojan-Spy.Win32.Zbot.sot	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "eBay" <ebay@ebay.com>][Date 22 May 2009 22:19:38][Subj Bank of America reminder: please complete online form <message]/html	Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "United Parcel Service of America" <itqkia@bonomiservice.com>][Date 2 Jun 2009 04:54:28][Subj Postal Tracking #MMD8392679UA646]/UPSNR_976120012.zip/UPSNR_976120012.exe	Infizierte Objekte: Trojan.Win32.Inject.accz	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox/[From "United Parcel Service of America" <itqkia@bonomiservice.com>][Date 2 Jun 2009 04:54:28][Subj Postal Tracking #MMD8392679UA646]/UPSNR_976120012.zip	Infizierte Objekte: Trojan.Win32.Inject.accz	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Inbox	MailBerkeleymbox: infiziert - 30, verdächtig - 2	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Junk/[From "eBay" <ebay@ebay.com>][Date 22 May 2009 22:19:38][Subj Bank of America reminder: please complete online form <message]/html	Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Junk	MailBerkeleymbox: verdächtig - 1	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Trash/[From "eBay" <ebay@ebay.com>][Date 22 May 2009 22:19:38][Subj Bank of America reminder: please complete online form <message]/html	Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Trash/[From "United Parcel Service of America" <uqpvu@bmoinvestorline.com>][Date 2 Jun 2009 11:54:19][Subj Postal Tracking #HHNGS06123C51RE]/UPSNR_976120012.zip/UPSNR_976120012.exe	Infizierte Objekte: Trojan.Win32.Inject.accz	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Trash/[From "United Parcel Service of America" <uqpvu@bmoinvestorline.com>][Date 2 Jun 2009 11:54:19][Subj Postal Tracking #HHNGS06123C51RE]/UPSNR_976120012.zip	Infizierte Objekte: Trojan.Win32.Inject.accz	übersprungen
C:\Dokumente und Einstellungen\grossmann\Anwendungsdaten\Thunderbird\Profiles\lwkgr55c.default\Mail\Local Folders\Trash	MailBerkeleymbox: infiziert - 2, verdächtig - 1	übersprungen
C:\Dokumente und Einstellungen\grossmann\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\IECompatCache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\IETldCache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Vorgeschlagene Sites~.feed-ms	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{F0F69F53-8C86-11DE-B13C-0050BFD5A3F9}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{3F2D012E-8C87-11DE-B13C-0050BFD5A3F9}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{F0F69F54-8C86-11DE-B13C-0050BFD5A3F9}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\temp\~DF1263.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\temp\~DF353E.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\temp\~DF3552.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\temp\~DF363C.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\temp\~DF3650.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\temp\~DF375F.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\temp\~DF3773.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\temp\~DFE49D.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\temp\~DFFAF4.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009081920090820\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\ntuser.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\grossmann\PrivacIE\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xgiDESIGN\ntuser.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xgiDESIGN\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{6939943F-09DE-41F4-AD9A-95C41F48F5E2}\RP75\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\DEFAULT	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SOFTWARE	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Sophos E.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SYSTEM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         
6) Auch im abgesicherten Modus läßt sich der Eintrag nicht fixen.

- Hal.

Alt 19.08.2009, 16:29   #15
kira
/// Helfer-Team
 
sysrest.sys (Rootkit.Agent) von MBAM gefunden - Standard

sysrest.sys (Rootkit.Agent) von MBAM gefunden



hi

1.
Starte dein Mailprogramm, lösche den Inhalt aus der Inbox und leere dann den Papierkorb deines Mail-Programms:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren - (im Menü Datei, Alle Ordner des Kontos komprimieren)

Thunderbird - Ordner komprimieren

2.
- Hast Du externe Festplatte und/oder USB Stick? Bitte immer anschließen, damit gescannt werden kann.
- Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Downloade Dr. Web CureIt! Anleitung findest du unter folgendem Link: → *klick*

Antwort

Themen zu sysrest.sys (Rootkit.Agent) von MBAM gefunden
0 bytes, antivir, avg, avgnt.exe, avira, avp, c:\windows\system32\rundll32.exe, combofix, components, desktop, einstellungen, explorer, fehlermeldung, festplatte, firefox, hijack, hijackthis, internet, laufende prozesse, lexware, log, malwarebytes' anti-malware, mozilla, opera, programme, registry, rootkit.agent, rundll, sched.exe, schutz, software, suchlauf, system, temp, windows recovery, windows xp



Ähnliche Themen: sysrest.sys (Rootkit.Agent) von MBAM gefunden


  1. Mbam hat Virus gefunden
    Log-Analyse und Auswertung - 08.02.2015 (9)
  2. Mbam hat virus gefunden
    Plagegeister aller Art und deren Bekämpfung - 12.01.2015 (10)
  3. Windows Vista: MBAM hat 15 infizierte Objekte gefunden u.a. Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 02.11.2013 (9)
  4. PUP.Blabbers gefunden mit mbam
    Log-Analyse und Auswertung - 07.01.2013 (10)
  5. Trojan.Agent.Gen Fund von MBAM
    Plagegeister aller Art und deren Bekämpfung - 08.10.2012 (1)
  6. Nach dem Scan mit mbam einen Rootkit.Agent gefunden
    Log-Analyse und Auswertung - 22.07.2012 (2)
  7. Rootkit.0Access / Rootkit.Agent
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  8. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  9. amty (worm.Autorun) und csrcs.exe(Trojan.Agent) bei einem routine-Scan von MBAM gefunden
    Log-Analyse und Auswertung - 21.04.2012 (16)
  10. Trojan.agent problem mit mbam
    Log-Analyse und Auswertung - 26.03.2012 (5)
  11. mbam Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.02.2012 (40)
  12. backdoor.agent von mbam gefunden (hh.exe)
    Plagegeister aller Art und deren Bekämpfung - 01.02.2011 (24)
  13. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  14. 5 Trojaner ( u.a. TR/Agent.25600.24, TR/Agent.38400.6...) + Rootkit
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  15. ccleaner und mbam lassen sich nicht installieren - rootkit?
    Plagegeister aller Art und deren Bekämpfung - 19.02.2010 (5)
  16. Rootkit Agent ODG gefunden
    Plagegeister aller Art und deren Bekämpfung - 05.08.2009 (24)
  17. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)

Zum Thema sysrest.sys (Rootkit.Agent) von MBAM gefunden - Ich habe vorgestern mal bei dem Rechner einer Freundin rein routinehalber MBAM laufen lassen. Viel kam dabei nicht heraus, allerdings machte mich der Eintrag sysrest.sys (Rootkit.Agent) stutzig. Habe dann mal - sysrest.sys (Rootkit.Agent) von MBAM gefunden...
Archiv
Du betrachtest: sysrest.sys (Rootkit.Agent) von MBAM gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.