Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wurm: C:\windows\system32\x Conficker

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.12.2009, 19:29   #1
Al Pacina
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



Hallo,

Antivir zeigt mir immer wieder den Fund C:\windows\system32\x an, kann diesen aber nicht löschen.... egal ob ich das ganze in Quarantäne verschiebe, Lösche... kommt ständig wieder.

Hier ist mein Hijack Logfile:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:29, on 03.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
I:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
I:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] I:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "I:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - I:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 7842 bytes
Und hier ist mein Logfile von Anti Malware:
Zitat:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3285
Windows 5.1.2600 Service Pack 2

03.12.2009 16:04:58
mbam-log-2009-12-03 (16-04-58).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 98751
Laufzeit: 6 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\x (Worm.Conficker) -> Delete on reboot.
Das mit dem "delete on reboot" hat auch nich geklappt.
Ich hoffe mir kann jemand helfen. Ich hab leider nicht viel Ahnung und weiß auch nicht inwiefern dieser Wurm nicht nur stört sondern auch gefährlich ist.
Für Hilfe wäre ich sehr dankbar.

Alt 04.12.2009, 07:13   #2
kira
/// Helfer-Team
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



Hallo und Herzlich Willkommen!

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow
__________________


Alt 06.12.2009, 17:56   #3
Al Pacina
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



Hallo Coverflow,

vielen Dank, dass du dich um mein Problem kümmerst!
Konnte leider am Wochenende gar nichts machen, aber jetzt neu ans Werk.
Ich habe alle Schritte befolgt, allerdings wird die Ausführung von GMER verhindert, es öffnet sich kurz, aber dann kommt nach wenigen Sekunden:
"y14wz2f2.exe hat ein Problem festgestellt und muss beendet werden."
Antivir und Windows Firewall waren deaktiviert und vom Netz getrennt war der Rechner auch.
Scheint ein intelligents Kerlchen zu sein, dieser Wurm.
Vielleicht kannst du trotzdem noch helfen?
Ansonsten muss ich mich meinem Schicksal ergeben und neu aufsetzen.

Hier noch die Filelist der letzten 6 Monate:
Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\

06.12.2009  18:40                43 filelist.txt
06.12.2009  18:25     1.605.369.856 pagefile.sys
08.07.2009  10:47               211 boot.ini

              10 Datei(en)  1.605.673.810 Bytes
               0 Verzeichnis(se),  1.424.191.488 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS

06.12.2009  18:26               159 wiadebug.log
06.12.2009  18:25                50 wiaservc.log
06.12.2009  18:25                 0 0.log
06.12.2009  18:25             2.048 bootstat.dat
04.12.2009  15:51            32.296 SchedLgU.Txt
04.12.2009  15:50            71.315 WindowsUpdate.log
04.12.2009  14:47               116 NeroDigital.ini
30.11.2009  19:54             7.680 Thumbs.db
30.11.2009  19:36           105.748 setupapi.log
23.11.2009  17:50         1.037.060 DPINST.LOG
11.11.2009  15:29               120 setupact.log
03.11.2009  11:24            26.317 wmsetup.log
22.10.2009  15:01                 0 setuperr.log
28.09.2009  13:15           316.640 WMSysPr9.prx
08.07.2009  10:47               745 win.ini
08.07.2009  10:47               227 system.ini

             112 Datei(en)      8.634.624 Bytes
               0 Verzeichnis(se),  1.424.183.296 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\system

04.08.2004  00:58           146.944 winspool.drv
04.08.2004  00:37            69.632 mmsystem.dll
25.09.2003  18:26           765.952 crlds3d.dll
18.08.2001  13:00             2.000 KEYBOARD.DRV
18.08.2001  13:00           109.504 AVIFILE.DLL
18.08.2001  13:00            73.760 MCIAVI.DRV
18.08.2001  13:00            25.296 MCISEQ.DRV
18.08.2001  13:00            28.160 MCIWAVE.DRV
18.08.2001  13:00             9.936 LZEXPAND.DLL
18.08.2001  13:00            33.744 COMMDLG.DLL
18.08.2001  13:00             1.152 MMTASK.TSK
18.08.2001  13:00             2.032 MOUSE.DRV
18.08.2001  13:00           127.104 MSVIDEO.DLL
18.08.2001  13:00            82.944 OLECLI.DLL
18.08.2001  13:00            24.064 OLESVR.DLL
18.08.2001  13:00            59.167 setup.inf
18.08.2001  13:00             5.120 SHELL.DLL
18.08.2001  13:00             1.744 SOUND.DRV
18.08.2001  13:00             5.532 stdole.tlb
18.08.2001  13:00             3.360 SYSTEM.DRV
18.08.2001  13:00            19.200 TAPI.DLL
18.08.2001  13:00             4.048 TIMER.DRV
18.08.2001  13:00             9.200 VER.DLL
18.08.2001  13:00             2.176 VGA.DRV
18.08.2001  13:00            13.600 WFWNET.DRV
18.08.2001  13:00            70.368 AVICAP.DLL
              26 Datei(en)      1.695.739 Bytes
               0 Verzeichnis(se),  1.424.183.296 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\system32

06.12.2009  18:25             2.206 wpa.dbl
30.11.2009  19:36               348 results.txt
24.11.2009  17:57             4.611 jupdate-1.6.0_17-b04.log
24.11.2009  17:56           364.068 perfh009.dat
24.11.2009  17:56            45.742 perfc009.dat
24.11.2009  17:56           371.602 perfh007.dat
24.11.2009  17:56            55.184 perfc007.dat
24.11.2009  17:56           843.816 PerfStringBackup.INI
11.10.2009  04:17           149.280 javaws.exe
11.10.2009  04:17           145.184 javaw.exe
11.10.2009  04:17           145.184 java.exe
11.10.2009  04:17           411.368 deploytk.dll
11.10.2009  02:14            73.728 javacpl.cpl


            2051 Datei(en)    382.431.124 Bytes
               0 Verzeichnis(se),  1.423.994.880 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\Prefetch

06.12.2009  18:40            10.412 FIND.EXE-0EC32F1E.pf
06.12.2009  18:40            13.602 CMD.EXE-087B4001.pf
06.12.2009  18:29            93.928 CHROME.EXE-0EB6E8F5.pf
06.12.2009  18:29            27.322 GOOGLEUPDATE.EXE-2FF4B1BB.pf
06.12.2009  18:27            66.358 AVNOTIFY.EXE-31D7686A.pf
06.12.2009  18:27            60.148 UPDATE.EXE-3398FCD6.pf
06.12.2009  18:27            86.490 NMIndexStoreSvr.exe-1DBCF9FD.pf
06.12.2009  18:27         1.016.062 NTOSBOOT-B00DFAAD.pf
04.12.2009  15:50            47.828 LOGONUI.EXE-0AF22957.pf
04.12.2009  15:27             7.776 RUNDLL32.EXE-451FC2C0.pf
04.12.2009  14:50            14.444 NOTEPAD.EXE-336351A9.pf
04.12.2009  14:48            26.718 WINRAR.EXE-1A0EFB18.pf
04.12.2009  14:47            56.704 ACRORD32INFO.EXE-19B1D743.pf
04.12.2009  14:38            97.682 WINWORD.EXE-0AEA99D4.pf
03.12.2009  21:44            15.122 GUARDGUI.EXE-147E0160.pf
03.12.2009  20:45            43.882 DFRGNTFS.EXE-269967DF.pf
03.12.2009  20:45            14.732 DEFRAG.EXE-273F131E.pf
03.12.2009  20:45           356.720 Layout.ini
03.12.2009  20:26            78.432 WMIPRVSE.EXE-28F301A9.pf
03.12.2009  20:26            18.838 HIJACKTHIS.EXE-39024128.pf
03.12.2009  16:26            33.648 RUNDLL32.EXE-1B6B6E20.pf
03.12.2009  16:23            41.748 RUNDLL32.EXE-4A41998E.pf
03.12.2009  16:23             5.488 CNMSE9E.EXE-1AB094D7.pf
03.12.2009  16:15            58.454 ACRORD32.EXE-2E761392.pf
03.12.2009  15:55            57.002 MBAM.EXE-325FAE38.pf
03.12.2009  15:50            16.990 CCLEANER.EXE-065E2F3F.pf
03.12.2009  15:48            49.138 CHICA.EXE-2E0E6923.pf
03.12.2009  15:48            61.866 RSIT.EXE-01D81F84.pf
03.12.2009  15:46            21.602 REGSVR32.EXE-25EEFE2F.pf
03.12.2009  15:46             7.166 MBAMGUI.EXE-1253A586.pf
03.12.2009  15:46            13.710 MBAM-SETUP.TMP-24D5FFB6.pf
03.12.2009  15:46            13.972 MBAM-SETUP.EXE-0E24E308.pf
03.12.2009  11:29            12.740 GOOGLECRASHHANDLER.EXE-089F24DA.pf
03.12.2009  11:28           250.116 HELPSVC.EXE-2878DDA2.pf
03.12.2009  11:02            56.074 WMIAPSRV.EXE-1E2270A5.pf
03.12.2009  11:02            15.104 ALG.EXE-0F138680.pf
02.12.2009  20:28            73.086 MPNEX20.EXE-197359B3.pf
02.12.2009  20:28            35.506 MPNSCAN.EXE-2AC16F4A.pf
02.12.2009  20:19            23.070 FFMPEG.EXE-03BB1812.pf
02.12.2009  19:41            41.654 FREEYOUTUBEDOWNLOAD.EXE-32B18009.pf
02.12.2009  19:41            31.116 FREESTUDIOMANAGER.EXE-019C2D18.pf
02.12.2009  15:13            91.072 VLC.EXE-2584CE07.pf
02.12.2009  14:49            11.748 FIXCOMPONENTSSILENT.EXE-28D672C8.pf
02.12.2009  14:49            13.694 COMMON.EXE-12E7A197.pf
02.12.2009  14:49            50.322 COMMON.TMP-371F964D.pf
02.12.2009  14:48            19.924 ASKINSTALLCHECKER.EXE-2F70CECA.pf
02.12.2009  14:48            13.094 FREEYOUTUBEDOWNLOAD23366.TMP-11DD82EA.pf
02.12.2009  14:48            15.080 FREEYOUTUBEDOWNLOAD23366.EXE-0D19F6F9.pf
01.12.2009  13:31            59.786 SOFTWAREUPDATE.EXE-1E90DF1F.pf
01.12.2009  13:31            22.788 DLLHOST.EXE-205D880D.pf
30.11.2009  21:49            49.484 MOVIETHUMB.EXE-0A1B91F9.pf
30.11.2009  21:07           129.006 PICASA3.EXE-2F9A2C1C.pf
30.11.2009  21:07            29.144 PICASAUPDATER.EXE-3B7D7F34.pf
30.11.2009  20:02            40.104 IMAPI.EXE-0BF740A4.pf
30.11.2009  19:58            45.810 ADOBE_UPDATER.EXE-059F58EC.pf
30.11.2009  19:49            98.076 MSIEXEC.EXE-2F8A8CAE.pf
30.11.2009  19:31            78.530 PICASAPHOTOVIEWER.EXE-26062FED.pf
25.11.2009  15:06            62.546 JAVA.EXE-2167859B.pf
24.11.2009  17:54            15.336 WMIADAP.EXE-2DF425B2.pf
23.11.2009  17:39            30.814 GOOGLETALKPLUGIN.EXE-33051F01.pf
01.07.2009  15:51            29.500 AVWSC.EXE-3AC95876.pf
              61 Datei(en)      3.978.308 Bytes
               0 Verzeichnis(se),  1.424.076.800 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\tasks

06.12.2009  18:29             1.208 GoogleUpdateTaskUserS-1-5-21-1220945662-507921405-1957994488-1003UA.job
06.12.2009  18:25                 6 SA.DAT
03.12.2009  11:29             1.156 GoogleUpdateTaskUserS-1-5-21-1220945662-507921405-1957994488-1003Core.job
01.12.2009  13:31               276 AppleSoftwareUpdate.job

               5 Datei(en)          2.711 Bytes
               0 Verzeichnis(se),  1.424.076.800 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\Temp

06.12.2009  18:25            16.384 Perflib_Perfdata_4dc.dat
               1 Datei(en)         16.384 Bytes
               0 Verzeichnis(se),  1.424.076.800 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\DOKUME~1\Chica\LOKALE~1\Temp

06.12.2009  18:31           344.710 jusched.log
06.12.2009  18:28                 0 etilqs_3GWGbGSuHitl53Y0Sl30
06.12.2009  18:28            16.400 etilqs_OBxDb2TzeMqxmlrYID5c
06.12.2009  18:27                 0 etilqs_OS0CilVy9auiLLfRFm4w
02.12.2009  20:28             1.065 TWAIN.LOG
02.12.2009  20:28                 3 Twain001.Mtx
02.12.2009  20:28               156 Twunk001.MTX
02.12.2009  14:10            72.950 nps178.tmp
               8 Datei(en)        435.284 Bytes
               0 Verzeichnis(se),  1.424.076.800 Bytes frei
         
Und meine Programmliste vom CCleaner

Code:
ATTFilter
           
56K MDC Modem
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 9.1.2 - Deutsch
ALPS Touch Pad Driver
Amazon MP3-Downloader 1.0.5
Apple Mobile Device Support
Apple Software Update
ArcSoft PhotoImpression
ASAPI Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
Audacity 1.3.7 (Unicode)
Avira AntiVir Personal - Free Antivirus
Benutzerhandbuch für Creative WebCam Vista (Deutsch)
BitTorrent
Bonjour
BrettspielWelt
Canon MP Navigator EX 2.0
Canon MP540 series Benutzerregistrierung
Canon MP540 series MP Drivers
Canon Utilities Easy-PhotoPrint EX
Canon Utilities My Printer
Canon Utilities Solution Menu
CCleaner (remove only)
Corel Applications
DivX Codec
DivX Player
DivX Web Player
DNA
Free YouTube Download 2.3
ftp-uploader
Google Chrome
Google SketchUp 6
HijackThis 2.0.2
ICQ6.5
InterVideo AVControlSDK
InterVideo DeviceService
Java(TM) 6 Update 17
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft Office 2000 Premium
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mobipocket Reader 6.2
Morrowind
Mozilla Firefox (3.0.1)
Nero 7 Demo
OpenOffice.org Installer 1.0
phase5
Picasa 3
QuickTime
Realtek AC'97 Audio
REALTEK Gigabit Ethenet NIC Driver Setup
Skype™ 3.6
Steinberg Cubase VST32
Steinberg WaveLab 5.01b
Teachmaster 4.1 (nur Entfernen)
TES Construction Set
Total Commander (Remove or Repair)
Uninstall 1.0.0.1
VideoLAN VLC media player 0.8.6c
Winamp
Winamp Toolbar
Windows Installer 3.1 (KB893803)
Windows XP Service Pack 2
WinRAR
         
__________________

Alt 07.12.2009, 14:12   #4
kira
/// Helfer-Team
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



hi

entlasten wir zuerst mal dein System:
1.
Wie lange dauert die Startvorgang?
- Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
- Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
"Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"
it-academy.cc
pqtuning.de
Laden von Programmen beim Start von Windows Vista verhindern
- Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart...
- Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
(Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
- Falls Du mal brauchst, kannst manuell auch starten
- Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*):
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
ATTFilter
Du solltest nicht deaktivieren :
Grafiktreibers
Firewall
Antivirenprogramm
Sound
         
Da es ist immer Benutzerspezifisch, ein allgemein gültiges Rezept gibt es nicht, finde über Google die Grundfunktionen der einzelnen Programme heraus!
Gleich ein paar Vorschläge:
Code:
ATTFilter
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] I:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [  Malwarebytes Anti-Malware  (reboot)] "I:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Update\Google Update.exe" /c
         
2.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten:
Code:
ATTFilter
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - I:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
         
- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.

3.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
ATTFilter
R3 - URLSearchHook: (no name) - - (no file)
         
4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

6.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Alt 07.12.2009, 21:35   #5
Al Pacina
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



So da wärn wir wieder. Alles erledigt.
Danke auch für die Systementlastungstipps. Ich bin da leider gar nicht fit und bei mir sammelt sich auch einiges auf dem Rechner...
Hier jetzt das Log vom Kaspersky Scan:

Code:
ATTFilter
KASPERSKY ONLINE SCANNER 7.0: scan report
Monday, December 7, 2009
Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, December 07, 2009 16:55:42
Records in database: 3340390
Scan settings
scan using the following database	extended
Scan archives	yes
Scan e-mail databases	yes
Scan area	My Computer
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
Scan statistics
Objects scanned	82903
Threats found	3
Infected objects found	24
Suspicious objects found	0
Scan duration	02:30:28

File name	Threat	Threats count
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\byoc[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\ifyv[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\luksak[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\mopbp[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\mopbp[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\mopbp[2].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\wulcgdos[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\bxgpdal[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\fwpnutfw[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\fwpnutfw[2].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\jrscv[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\oqqnq[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\xjntiyi[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\yuqvktxm[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QB4TYR\mktope[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QB4TYR\okcnivw[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QB4TYR\sflm[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\cjqum[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\gizgib[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\kmuznx[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx	Infected: Net-Worm.Win32.Kido.ih	1	
E:\autorun.inf	Infected: Net-Worm.Win32.Kido.ir	1	
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx	Infected: Net-Worm.Win32.Kido.ih	1	
L:\technisches\Laptop Treiber\11AutoMail\Fngmhlib.dll	Infected: not-a-virus:Monitor.Win32.KeyPressHooker.b	1	
Selected area has been scanned.
         
E:\ ist mein MP3 Player, L:\ meine Externe Festplatte. Mehr hab ich nicht in Benutzung.
Dieses Recycler Ding ist auch etwas unangenehm, hat soviel ich mitbekommen habe den Zugriff auf die Datenträger über den Arbeitsplatz verhindert. Musste manchmal über die Windows Such in die Ordner rein... Keine Ahnung was das ist...

Scheint einiges im Argen zu sein. Irgendwie poppte letztens auch ein Dropper.Gen auf...
Bin ja gespannt ob und wie's weitergeht
Ich kann mich nur wiederholen: Vielen lieben Dank für deine Mühe!
Liebe Grüße nach Österreich


Alt 08.12.2009, 09:28   #6
kira
/// Helfer-Team
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



hi

Punkt 5. - fehlt noch-> http://www.trojaner-board.de/80012-w...tml#post485521

Alt 08.12.2009, 10:27   #7
Al Pacina
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



Oh sorry,
hab ich vergessen zu posten, war nach dem Scan dann schon etwas müde.
Also hier noch die Sachen von Root Repeal:

Drivers:
Code:
ATTFilter
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2009/12/07 17:46
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP2
==================================================

Drivers
-------------------
Name:          
Image Path:          
Address: 0xF7395000	Size: 98304	File Visible: No	Signed: -
Status: -

Name:          
Image Path:          
Address: 0x00000000	Size: 0	File Visible: No	Signed: -
Status: -

Name: 1394BUS.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\1394BUS.SYS
Address: 0xF74B8000	Size: 53248	File Visible: -	Signed: -
Status: -

Name: ACPI.sys
Image Path: ACPI.sys
Address: 0xF7421000	Size: 188800	File Visible: -	Signed: -
Status: -

Name: ACPI_HAL
Image Path: \Driver\ACPI_HAL
Address: 0x804D7000	Size: 2183296	File Visible: -	Signed: -
Status: -

Name: ACPIEC.sys
Image Path: ACPIEC.sys
Address: 0xF78B4000	Size: 12160	File Visible: -	Signed: -
Status: -

Name: afd.sys
Image Path: C:\WINDOWS\System32\drivers\afd.sys
Address: 0xEE6B0000	Size: 138496	File Visible: -	Signed: -
Status: -

Name: ALCXWDM.SYS
Image Path: C:\WINDOWS\system32\drivers\ALCXWDM.SYS
Address: 0xF68DF000	Size: 730752	File Visible: -	Signed: -
Status: -

Name: Apfiltr.sys
Image Path: C:\WINDOWS\system32\DRIVERS\Apfiltr.sys
Address: 0xF6882000	Size: 90048	File Visible: -	Signed: -
Status: -

Name: arp1394.sys
Image Path: C:\WINDOWS\System32\DRIVERS\arp1394.sys
Address: 0xF7628000	Size: 60800	File Visible: -	Signed: -
Status: -

Name: Asapi.SYS
Image Path: C:\WINDOWS\System32\Drivers\Asapi.SYS
Address: 0xF77D8000	Size: 32768	File Visible: -	Signed: -
Status: -

Name: ati2dvag.dll
Image Path: C:\WINDOWS\System32\ati2dvag.dll
Address: 0xBF9D3000	Size: 389120	File Visible: -	Signed: -
Status: -

Name: ati2mtag.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
Address: 0xF6B89000	Size: 638976	File Visible: -	Signed: -
Status: -

Name: ati3duag.dll
Image Path: C:\WINDOWS\System32\ati3duag.dll
Address: 0xBFA32000	Size: 1122304	File Visible: -	Signed: -
Status: -

Name: ATMFD.DLL
Image Path: C:\WINDOWS\System32\ATMFD.DLL
Address: 0xBFFA0000	Size: 286720	File Visible: -	Signed: -
Status: -

Name: audstub.sys
Image Path: C:\WINDOWS\System32\DRIVERS\audstub.sys
Address: 0xF7A8A000	Size: 3072	File Visible: -	Signed: -
Status: -

Name: avgio.sys
Image Path: C:\Programme\Avira\AntiVir Desktop\avgio.sys
Address: 0xF79CA000	Size: 6144	File Visible: -	Signed: -
Status: -

Name: avgntflt.sys
Image Path: C:\WINDOWS\system32\DRIVERS\avgntflt.sys
Address: 0xEE393000	Size: 81920	File Visible: -	Signed: -
Status: -

Name: avipbb.sys
Image Path: C:\WINDOWS\system32\DRIVERS\avipbb.sys
Address: 0xEE510000	Size: 114688	File Visible: -	Signed: -
Status: -

Name: BATTC.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\BATTC.SYS
Address: 0xF78B0000	Size: 16384	File Visible: -	Signed: -
Status: -

Name: Beep.SYS
Image Path: C:\WINDOWS\System32\Drivers\Beep.SYS
Address: 0xF79C0000	Size: 4224	File Visible: -	Signed: -
Status: -

Name: BOOTVID.dll
Image Path: C:\WINDOWS\system32\BOOTVID.dll
Address: 0xF78A8000	Size: 12288	File Visible: -	Signed: -
Status: -

Name: Cdfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Address: 0xF7668000	Size: 63744	File Visible: -	Signed: -
Status: -

Name: cdrom.sys
Image Path: C:\WINDOWS\System32\DRIVERS\cdrom.sys
Address: 0xF7588000	Size: 49536	File Visible: -	Signed: -
Status: -

Name: CLASSPNP.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\CLASSPNP.SYS
Address: 0xF74F8000	Size: 53248	File Visible: -	Signed: -
Status: -

Name: CmBatt.sys
Image Path: C:\WINDOWS\System32\DRIVERS\CmBatt.sys
Address: 0xF7990000	Size: 14080	File Visible: -	Signed: -
Status: -

Name: compbatt.sys
Image Path: compbatt.sys
Address: 0xF78AC000	Size: 9344	File Visible: -	Signed: -
Status: -

Name: disk.sys
Image Path: disk.sys
Address: 0xF74E8000	Size: 36352	File Visible: -	Signed: -
Status: -

Name: dmio.sys
Image Path: dmio.sys
Address: 0xF73AD000	Size: 154112	File Visible: -	Signed: -
Status: -

Name: dmload.sys
Image Path: dmload.sys
Address: 0xF799C000	Size: 5888	File Visible: -	Signed: -
Status: -

Name: drmk.sys
Image Path: C:\WINDOWS\system32\drivers\drmk.sys
Address: 0xF75A8000	Size: 61440	File Visible: -	Signed: -
Status: -

Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xEE4E7000	Size: 98304	File Visible: No	Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79D2000	Size: 8192	File Visible: No	Signed: -
Status: -

Name: Dxapi.sys
Image Path: C:\WINDOWS\System32\drivers\Dxapi.sys
Address: 0xF67C1000	Size: 12288	File Visible: -	Signed: -
Status: -

Name: dxg.sys
Image Path: C:\WINDOWS\System32\drivers\dxg.sys
Address: 0xBF9C1000	Size: 73728	File Visible: -	Signed: -
Status: -

Name: dxgthk.sys
Image Path: C:\WINDOWS\System32\drivers\dxgthk.sys
Address: 0xF7B04000	Size: 4096	File Visible: -	Signed: -
Status: -

Name: Fips.SYS
Image Path: C:\WINDOWS\System32\Drivers\Fips.SYS
Address: 0xF7608000	Size: 35072	File Visible: -	Signed: -
Status: -

Name: fltmgr.sys
Image Path: fltmgr.sys
Address: 0xF735E000	Size: 124800	File Visible: -	Signed: -
Status: -

Name: Fs_Rec.SYS
Image Path: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Address: 0xF79BE000	Size: 7936	File Visible: -	Signed: -
Status: -

Name: ftdisk.sys
Image Path: ftdisk.sys
Address: 0xF73D3000	Size: 126336	File Visible: -	Signed: -
Status: -

Name: hal.dll
Image Path: C:\WINDOWS\system32\hal.dll
Address: 0x806ED000	Size: 81280	File Visible: -	Signed: -
Status: -

Name: HIDCLASS.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\HIDCLASS.SYS
Address: 0xF7638000	Size: 36864	File Visible: -	Signed: -
Status: -

Name: HIDPARSE.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS
Address: 0xF7860000	Size: 28672	File Visible: -	Signed: -
Status: -

Name: hidusb.sys
Image Path: C:\WINDOWS\System32\DRIVERS\hidusb.sys
Address: 0xF687E000	Size: 9600	File Visible: -	Signed: -
Status: -

Name: HTTP.sys
Image Path: C:\WINDOWS\System32\Drivers\HTTP.sys
Address: 0xED9E2000	Size: 263040	File Visible: -	Signed: -
Status: -

Name: i8042prt.sys
Image Path: C:\WINDOWS\System32\DRIVERS\i8042prt.sys
Address: 0xF6CB5000	Size: 53248	File Visible: -	Signed: -
Status: -

Name: imapi.sys
Image Path: C:\WINDOWS\System32\DRIVERS\imapi.sys
Address: 0xF7578000	Size: 41856	File Visible: -	Signed: -
Status: -

Name: intelppm.sys
Image Path: C:\WINDOWS\System32\DRIVERS\intelppm.sys
Address: 0xF7558000	Size: 40192	File Visible: -	Signed: -
Status: -

Name: ipnat.sys
Image Path: C:\WINDOWS\System32\DRIVERS\ipnat.sys
Address: 0xEE52C000	Size: 134912	File Visible: -	Signed: -
Status: -

Name: ipsec.sys
Image Path: C:\WINDOWS\System32\DRIVERS\ipsec.sys
Address: 0xEE752000	Size: 74752	File Visible: -	Signed: -
Status: -

Name: irda.sys
Image Path: C:\WINDOWS\System32\DRIVERS\irda.sys
Address: 0xEE28D000	Size: 87424	File Visible: -	Signed: -
Status: -

Name: irenum.sys
Image Path: C:\WINDOWS\System32\DRIVERS\irenum.sys
Address: 0xF7978000	Size: 11264	File Visible: -	Signed: -
Status: -

Name: isapnp.sys
Image Path: isapnp.sys
Address: 0xF7498000	Size: 36224	File Visible: -	Signed: -
Status: -

Name: kbdclass.sys
Image Path: C:\WINDOWS\System32\DRIVERS\kbdclass.sys
Address: 0xF7808000	Size: 25216	File Visible: -	Signed: -
Status: -

Name: KDCOM.DLL
Image Path: C:\WINDOWS\system32\KDCOM.DLL
Address: 0xF7998000	Size: 8192	File Visible: -	Signed: -
Status: -

Name: kmixer.sys
Image Path: C:\WINDOWS\system32\drivers\kmixer.sys
Address: 0xED878000	Size: 171776	File Visible: -	Signed: -
Status: -

Name: ks.sys
Image Path: C:\WINDOWS\System32\DRIVERS\ks.sys
Address: 0xF6B2D000	Size: 143360	File Visible: -	Signed: -
Status: -

Name: KSecDD.sys
Image Path: KSecDD.sys
Address: 0xF7335000	Size: 92032	File Visible: -	Signed: -
Status: -

Name: mnmdd.SYS
Image Path: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Address: 0xF79C2000	Size: 4224	File Visible: -	Signed: -
Status: -

Name: Modem.SYS
Image Path: C:\WINDOWS\System32\Drivers\Modem.SYS
Address: 0xF77E8000	Size: 30336	File Visible: -	Signed: -
Status: -

Name: mouclass.sys
Image Path: C:\WINDOWS\System32\DRIVERS\mouclass.sys
Address: 0xF7810000	Size: 23552	File Visible: -	Signed: -
Status: -

Name: mouhid.sys
Image Path: C:\WINDOWS\System32\DRIVERS\mouhid.sys
Address: 0xF687A000	Size: 12288	File Visible: -	Signed: -
Status: -

Name: MountMgr.sys
Image Path: MountMgr.sys
Address: 0xF74C8000	Size: 42240	File Visible: -	Signed: -
Status: -

Name: mrxdav.sys
Image Path: C:\WINDOWS\System32\DRIVERS\mrxdav.sys
Address: 0xEDFE0000	Size: 181248	File Visible: -	Signed: -
Status: -

Name: mrxsmb.sys
Image Path: C:\WINDOWS\System32\DRIVERS\mrxsmb.sys
Address: 0xEE54D000	Size: 451456	File Visible: -	Signed: -
Status: -

Name: Msfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Msfs.SYS
Address: 0xF7870000	Size: 19072	File Visible: -	Signed: -
Status: -

Name: msgpc.sys
Image Path: C:\WINDOWS\System32\DRIVERS\msgpc.sys
Address: 0xF6C75000	Size: 35072	File Visible: -	Signed: -
Status: -

Name: mssmbios.sys
Image Path: C:\WINDOWS\System32\DRIVERS\mssmbios.sys
Address: 0xF7217000	Size: 15488	File Visible: -	Signed: -
Status: -

Name: Mtlmnt5.sys
Image Path: C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys
Address: 0xF6992000	Size: 103648	File Visible: -	Signed: -
Status: -

Name: Mup.sys
Image Path: Mup.sys
Address: 0xF7260000	Size: 107904	File Visible: -	Signed: -
Status: -

Name: NDIS.sys
Image Path: NDIS.sys
Address: 0xF727B000	Size: 182912	File Visible: -	Signed: -
Status: -

Name: ndistapi.sys
Image Path: C:\WINDOWS\System32\DRIVERS\ndistapi.sys
Address: 0xF722B000	Size: 9600	File Visible: -	Signed: -
Status: -

Name: ndisuio.sys
Image Path: C:\WINDOWS\System32\DRIVERS\ndisuio.sys
Address: 0xEE3C7000	Size: 12928	File Visible: -	Signed: -
Status: -

Name: ndiswan.sys
Image Path: C:\WINDOWS\System32\DRIVERS\ndiswan.sys
Address: 0xF6843000	Size: 91776	File Visible: -	Signed: -
Status: -

Name: NDProxy.SYS
Image Path: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Address: 0xF6C55000	Size: 38016	File Visible: -	Signed: -
Status: -

Name: netbios.sys
Image Path: C:\WINDOWS\System32\DRIVERS\netbios.sys
Address: 0xF75E8000	Size: 34560	File Visible: -	Signed: -
Status: -

Name: netbt.sys
Image Path: C:\WINDOWS\System32\DRIVERS\netbt.sys
Address: 0xEE6D2000	Size: 162816	File Visible: -	Signed: -
Status: -

Name: nic1394.sys
Image Path: C:\WINDOWS\System32\DRIVERS\nic1394.sys
Address: 0xF7568000	Size: 61824	File Visible: -	Signed: -
Status: -

Name: Npfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Npfs.SYS
Address: 0xF7878000	Size: 30848	File Visible: -	Signed: -
Status: -

Name: nscirda.sys
Image Path: C:\WINDOWS\System32\DRIVERS\nscirda.sys
Address: 0xF77D0000	Size: 28672	File Visible: -	Signed: -
Status: -

Name: Ntfs.sys
Image Path: Ntfs.sys
Address: 0xF72A8000	Size: 574592	File Visible: -	Signed: -
Status: -

Name: ntoskrnl.exe
Image Path: C:\WINDOWS\system32\ntoskrnl.exe
Address: 0x804D7000	Size: 2183296	File Visible: -	Signed: -
Status: -

Name: Null.SYS
Image Path: C:\WINDOWS\System32\Drivers\Null.SYS
Address: 0xF7AF1000	Size: 2944	File Visible: -	Signed: -
Status: -

Name: ohci1394.sys
Image Path: ohci1394.sys
Address: 0xF74A8000	Size: 61056	File Visible: -	Signed: -
Status: -

Name: OPRGHDLR.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\OPRGHDLR.SYS
Address: 0xF7A61000	Size: 4096	File Visible: -	Signed: -
Status: -

Name: parport.sys
Image Path: C:\WINDOWS\System32\DRIVERS\parport.sys
Address: 0xF6B50000	Size: 80384	File Visible: -	Signed: -
Status: -

Name: PartMgr.sys
Image Path: PartMgr.sys
Address: 0xF7720000	Size: 18688	File Visible: -	Signed: -
Status: -

Name: ParVdm.SYS
Image Path: C:\WINDOWS\System32\Drivers\ParVdm.SYS
Address: 0xF7A38000	Size: 7040	File Visible: -	Signed: -
Status: -

Name: pci.sys
Image Path: pci.sys
Address: 0xF7410000	Size: 68224	File Visible: -	Signed: -
Status: -

Name: pciide.sys
Image Path: pciide.sys
Address: 0xF7A60000	Size: 3328	File Visible: -	Signed: -
Status: -

Name: PCIIDEX.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\PCIIDEX.SYS
Address: 0xF7718000	Size: 28672	File Visible: -	Signed: -
Status: -

Name: pcmcia.sys
Image Path: pcmcia.sys
Address: 0xF73F2000	Size: 120320	File Visible: -	Signed: -
Status: -

Name: PnpManager
Image Path: \Driver\PnpManager
Address: 0x804D7000	Size: 2183296	File Visible: -	Signed: -
Status: -

Name: portcls.sys
Image Path: C:\WINDOWS\system32\drivers\portcls.sys
Address: 0xF68BB000	Size: 147456	File Visible: -	Signed: -
Status: -

Name: psched.sys
Image Path: C:\WINDOWS\System32\DRIVERS\psched.sys
Address: 0xF6832000	Size: 69120	File Visible: -	Signed: -
Status: -

Name: ptilink.sys
Image Path: C:\WINDOWS\System32\DRIVERS\ptilink.sys
Address: 0xF7828000	Size: 17792	File Visible: -	Signed: -
Status: -

Name: PxHelp20.sys
Image Path: PxHelp20.sys
Address: 0xF7508000	Size: 37376	File Visible: -	Signed: -
Status: -

Name: rasacd.sys
Image Path: C:\WINDOWS\System32\DRIVERS\rasacd.sys
Address: 0xF7950000	Size: 8832	File Visible: -	Signed: -
Status: -

Name: rasirda.sys
Image Path: C:\WINDOWS\System32\DRIVERS\rasirda.sys
Address: 0xF7818000	Size: 19584	File Visible: -	Signed: -
Status: -

Name: rasl2tp.sys
Image Path: C:\WINDOWS\System32\DRIVERS\rasl2tp.sys
Address: 0xF6CA5000	Size: 51328	File Visible: -	Signed: -
Status: -

Name: raspppoe.sys
Image Path: C:\WINDOWS\System32\DRIVERS\raspppoe.sys
Address: 0xF6C95000	Size: 41472	File Visible: -	Signed: -
Status: -

Name: raspptp.sys
Image Path: C:\WINDOWS\System32\DRIVERS\raspptp.sys
Address: 0xF6C85000	Size: 48384	File Visible: -	Signed: -
Status: -

Name: raspti.sys
Image Path: C:\WINDOWS\System32\DRIVERS\raspti.sys
Address: 0xF7830000	Size: 16512	File Visible: -	Signed: -
Status: -

Name: RAW
Image Path: \FileSystem\RAW
Address: 0x804D7000	Size: 2183296	File Visible: -	Signed: -
Status: -

Name: rdbss.sys
Image Path: C:\WINDOWS\System32\DRIVERS\rdbss.sys
Address: 0xEE5E4000	Size: 176512	File Visible: -	Signed: -
Status: -

Name: RDPCDD.sys
Image Path: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Address: 0xF79C4000	Size: 4224	File Visible: -	Signed: -
Status: -

Name: rdpdr.sys
Image Path: C:\WINDOWS\System32\DRIVERS\rdpdr.sys
Address: 0xF6801000	Size: 196864	File Visible: -	Signed: -
Status: -

Name: RecAgent.sys
Image Path: RecAgent.sys
Address: 0xF78B8000	Size: 13696	File Visible: -	Signed: -
Status: -

Name: redbook.sys
Image Path: C:\WINDOWS\System32\DRIVERS\redbook.sys
Address: 0xF7598000	Size: 57600	File Visible: -	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEE41F000	Size: 49152	File Visible: No	Signed: -
Status: -

Name: Rtlnic51.sys
Image Path: C:\WINDOWS\system32\DRIVERS\Rtlnic51.sys
Address: 0xF75B8000	Size: 65152	File Visible: -	Signed: -
Status: -

Name: SCSIPORT.SYS
Image Path: C:\WINDOWS\System32\Drivers\SCSIPORT.SYS
Address: 0xF737D000	Size: 98304	File Visible: -	Signed: -
Status: -

Name: serenum.sys
Image Path: C:\WINDOWS\System32\DRIVERS\serenum.sys
Address: 0xF7974000	Size: 15488	File Visible: -	Signed: -
Status: -

Name: serial.sys
Image Path: C:\WINDOWS\System32\DRIVERS\serial.sys
Address: 0xF6B64000	Size: 65920	File Visible: -	Signed: -
Status: -

Name: SISAGPX.sys
Image Path: SISAGPX.sys
Address: 0xF7528000	Size: 36992	File Visible: -	Signed: -
Status: -

Name: slntamr.sys
Image Path: C:\WINDOWS\system32\DRIVERS\slntamr.sys
Address: 0xF6ABE000	Size: 255808	File Visible: -	Signed: -
Status: -

Name: SlWdmSup.sys
Image Path: C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys
Address: 0xF77E0000	Size: 16960	File Visible: -	Signed: -
Status: -

Name: sr.sys
Image Path: sr.sys
Address: 0xF734C000	Size: 73472	File Visible: -	Signed: -
Status: -

Name: srv.sys
Image Path: C:\WINDOWS\System32\DRIVERS\srv.sys
Address: 0xEDCA3000	Size: 336256	File Visible: -	Signed: -
Status: -

Name: ssmdrv.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
Address: 0xF7880000	Size: 23040	File Visible: -	Signed: -
Status: -

Name: swenum.sys
Image Path: C:\WINDOWS\System32\DRIVERS\swenum.sys
Address: 0xF79B8000	Size: 4352	File Visible: -	Signed: -
Status: -

Name: sysaudio.sys
Image Path: C:\WINDOWS\system32\drivers\sysaudio.sys
Address: 0xEE2E3000	Size: 60800	File Visible: -	Signed: -
Status: -

Name: tcpip.sys
Image Path: C:\WINDOWS\System32\DRIVERS\tcpip.sys
Address: 0xEE6FA000	Size: 359040	File Visible: -	Signed: -
Status: -

Name: TDI.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\TDI.SYS
Address: 0xF7820000	Size: 20480	File Visible: -	Signed: -
Status: -

Name: termdd.sys
Image Path: C:\WINDOWS\System32\DRIVERS\termdd.sys
Address: 0xF6C65000	Size: 40704	File Visible: -	Signed: -
Status: -

Name: uagp35.sys
Image Path: uagp35.sys
Address: 0xF7518000	Size: 44672	File Visible: -	Signed: -
Status: -

Name: Udfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Udfs.SYS
Address: 0xEE4FF000	Size: 66176	File Visible: -	Signed: -
Status: -

Name: update.sys
Image Path: C:\WINDOWS\System32\DRIVERS\update.sys
Address: 0xF67CD000	Size: 209408	File Visible: -	Signed: -
Status: -

Name: USBD.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\USBD.SYS
Address: 0xF79BA000	Size: 8192	File Visible: -	Signed: -
Status: -

Name: usbehci.sys
Image Path: C:\WINDOWS\System32\DRIVERS\usbehci.sys
Address: 0xF7800000	Size: 26624	File Visible: -	Signed: -
Status: -

Name: usbhub.sys
Image Path: C:\WINDOWS\System32\DRIVERS\usbhub.sys
Address: 0xF75C8000	Size: 57600	File Visible: -	Signed: -
Status: -

Name: usbohci.sys
Image Path: C:\WINDOWS\System32\DRIVERS\usbohci.sys
Address: 0xF77F8000	Size: 17024	File Visible: -	Signed: -
Status: -

Name: USBPORT.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\USBPORT.SYS
Address: 0xF6898000	Size: 143360	File Visible: -	Signed: -
Status: -

Name: USBSTOR.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS
Address: 0xF7890000	Size: 26496	File Visible: -	Signed: -
Status: -

Name: Vax347b.sys
Image Path: Vax347b.sys
Address: 0xF7450000	Size: 159616	File Visible: -	Signed: -
Status: -

Name: Vax347s.sys
Image Path: Vax347s.sys
Address: 0xF799E000	Size: 5248	File Visible: -	Signed: -
Status: -

Name: vga.sys
Image Path: C:\WINDOWS\System32\drivers\vga.sys
Address: 0xF7868000	Size: 20992	File Visible: -	Signed: -
Status: -

Name: VIDEOPRT.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Address: 0xF6B75000	Size: 81920	File Visible: -	Signed: -
Status: -

Name: VolSnap.sys
Image Path: VolSnap.sys
Address: 0xF74D8000	Size: 53760	File Visible: -	Signed: -
Status: -

Name: wanarp.sys
Image Path: C:\WINDOWS\System32\DRIVERS\wanarp.sys
Address: 0xF7618000	Size: 34560	File Visible: -	Signed: -
Status: -

Name: watchdog.sys
Image Path: C:\WINDOWS\System32\watchdog.sys
Address: 0xF7748000	Size: 20480	File Visible: -	Signed: -
Status: -

Name: wdmaud.sys
Image Path: C:\WINDOWS\system32\drivers\wdmaud.sys
Address: 0xEDFA3000	Size: 82944	File Visible: -	Signed: -
Status: -

Name: Win32k
Image Path: \Driver\Win32k
Address: 0xBF800000	Size: 1839104	File Visible: -	Signed: -
Status: -

Name: win32k.sys
Image Path: C:\WINDOWS\System32\win32k.sys
Address: 0xBF800000	Size: 1839104	File Visible: -	Signed: -
Status: -

Name: WMILIB.SYS
Image Path: C:\WINDOWS\System32\DRIVERS\WMILIB.SYS
Address: 0xF799A000	Size: 8192	File Visible: -	Signed: -
Status: -

Name: WMIxWDM
Image Path: \Driver\WMIxWDM
Address: 0x804D7000	Size: 2183296	File Visible: -	Signed: -
Status: -
         

Hidden Services:
Code:
ATTFilter
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2009/12/07 17:45
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP2
==================================================

Hidden Services
-------------------
Service Name: bhtypufrv
Image Path%SystemRoot%\system32\svchost.exe -k netsvcs

Service Name: juptmgy
Image Path%SystemRoot%\system32\svchost.exe -k netsvcs

Service Name: lytvem
Image Path%SystemRoot%\system32\svchost.exe -k netsvcs

Service Name: mhnyunvv
Image Path%SystemRoot%\system32\svchost.exe -k netsvcs

Service Name: oaler
Image Path%SystemRoot%\system32\svchost.exe -k netsvcs

Service Name: zspqpa
Image Path%SystemRoot%\system32\svchost.exe -k netsvcs
         
Stealth Objects

Code:
ATTFilter
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2009/12/07 17:46
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP2
==================================================

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System	Address: 0x863cfb60	Size: 11

Object: Hidden Code [Driver: UdfsЅఐ卆浩#, IRP_MJ_READ]
Process: System	Address: 0x860b3518	Size: 11

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE_NAMED_PIPE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CLOSE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_READ]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_WRITE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_EA]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_EA]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CLEANUP]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE_MAILSLOT]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_POWER]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CHANGE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_PNP]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_NAMED_PIPE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_EA]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_EA]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLEANUP]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_MAILSLOT]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CHANGE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CREATE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CREATE_NAMED_PIPE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CLOSE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_READ]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_WRITE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_EA]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_EA]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CLEANUP]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CREATE_MAILSLOT]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_POWER]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_DEVICE_CHANGE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_PNP]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Rdbss, IRP_MJ_READ]
Process: System	Address: 0x85f5f2a8	Size: 11

Object: Hidden Code [Driver: Srv, IRP_MJ_READ]
Process: System	Address: 0x85f65ce8	Size: 11

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System	Address: 0x85d008a8	Size: 11

Object: Hidden Code [Driver: NpfsȅLUȁఅ坓慤��ꖱꟇ嫳ᇑ, IRP_MJ_READ]
Process: System	Address: 0x85eed380	Size: 11

Object: Hidden Code [Driver: Msfsȅఐ卆浩, IRP_MJ_READ]
Process: System	Address: 0x85eef8a0	Size: 11

Object: Hidden Code [Driver: Fs_Rec, IRP_MJ_READ]
Process: System	Address: 0x85f81e90	Size: 11

Object: Hidden Code [Driver: CdfsЅఐ卆浩, IRP_MJ_READ]
Process: System	Address: 0x85fd8458	Size: 11

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2009/12/07 17:46
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP2
==================================================

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System	Address: 0x863cfb60	Size: 11

Object: Hidden Code [Driver: UdfsЅఐ卆浩#, IRP_MJ_READ]
Process: System	Address: 0x860b3518	Size: 11

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE_NAMED_PIPE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CLOSE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_READ]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_WRITE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_EA]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_EA]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CLEANUP]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE_MAILSLOT]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_POWER]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CHANGE]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_PNP]
Process: System	Address: 0x85ee1180	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_NAMED_PIPE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_EA]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_EA]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLEANUP]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_MAILSLOT]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CHANGE]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System	Address: 0x85ee0978	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CREATE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CREATE_NAMED_PIPE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CLOSE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_READ]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_WRITE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_EA]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_EA]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CLEANUP]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_CREATE_MAILSLOT]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_POWER]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_DEVICE_CHANGE]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Vax347s, IRP_MJ_PNP]
Process: System	Address: 0x85ef03e8	Size: 99

Object: Hidden Code [Driver: Rdbss, IRP_MJ_READ]
Process: System	Address: 0x85f5f2a8	Size: 11

Object: Hidden Code [Driver: Srv, IRP_MJ_READ]
Process: System	Address: 0x85f65ce8	Size: 11

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System	Address: 0x85d008a8	Size: 11

Object: Hidden Code [Driver: NpfsȅLUȁఅ坓慤��ꖱꟇ嫳ᇑ, IRP_MJ_READ]
Process: System	Address: 0x85eed380	Size: 11

Object: Hidden Code [Driver: Msfsȅఐ卆浩, IRP_MJ_READ]
Process: System	Address: 0x85eef8a0	Size: 11

Object: Hidden Code [Driver: Fs_Rec, IRP_MJ_READ]
Process: System	Address: 0x85f81e90	Size: 11

Object: Hidden Code [Driver: CdfsЅఐ卆浩, IRP_MJ_READ]
Process: System	Address: 0x85fd8458	Size: 11
         
Hoffe das war jetzt alles!

Alt 10.12.2009, 07:59   #8
kira
/// Helfer-Team
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



hi

wie es aussieht, dein System nicht nur einfach mit Autorun infiziert:
Festplatten, die mit dem Virus "Virus.Win32.AutoRun" befallen waren/sind - Die sind Malware, die sich über externe Datenträger verbreitet
Zitat:
Wird eine Festplatte (Speicherkarte, USB-Speichergeräte,also externe Medien) an den Rechner angeschlossen und das Laufwerk im Explorer geöffnet, kopiert sich der Virus automatisch auf die lokale Festplatte des Computers. Dies geschieht, weil der Virus im Hauptverzeichnis der externen Festplatte eine Datei "autorun.inf" abgelegt hat, die Anweisungen für das Verhalten beim ersten Zugriff auf das Laufwerk enthält. Ähnliche wie bei CD-ROMs sucht Windows nach einer solchen Datei und führt die Anweisungen aus.
sondern auch von einem Rootkit befallen.
Also wirst du wohl um eine Formatierung deines Systems kaum herum kommen, da dein System extrem verseucht ist!

Bevor Du es machst, würde ich noch 2 Tools laufen lassen, zwar:

1.
Externe Medien desinfizieren und absichern

Schalte Antiviren-Programm und Firewall ab, da der Flash_Disinfector irrtümlich von manchen Anti-Virus-Programmen als Schädling erkannt wird, was er aber nicht ist. Lade Flash Disinfector von sUBs herunter und speichere die Datei auf Deinem Desktop.
  • Bitte trenne den Rechner vom Netz (WLAN nicht vergessen).
  • Alle vorhandenen USB-Sticks, externen Festplatten und sonstige externe Medien anschließen.
  • Starte die Flash_Disinfector.exe durch Doppelklick. Folge ggfs. den Anweisungen.
  • Dein Desktop wird kurzfristig verschwinden und dann wiederkommen, das ist normal.
  • Warte, bis das Programm den Scan beendet hat, dann schließe das Programm.
  • Starte den Rechner neu.
Lasse die externen Medien noch am Rechner angeschlossen und mache nun zur Kontrolle einen Onlinescan mit dem Kaspersky-Online-Scanner nach dieser Anleitung und poste mir das Logfile hier in den Thread. Vergesse nicht, bevor Du wieder online gehst, Antiviren-Programm und Firewall wieder einzuschalten!

Was Flash_Disinfector tun wird: Flash_Disinfector wird Deine Laufwerke von schädlichen autorun.inf-Dateien befreien und zum Schutz vor Neuinfektion an ihre Stelle einen versteckten Ordner mit diesem Namen anlegen. Bitte diese Ordner nicht löschen! Sie schützen davor, dass die sich die Autorun-Infektion erneut installieren und andere schädliche Software laufen lassen kann

2.
Master Boot Record überprüfen:
  • Lade Dir die MBR.exe von GMER herunter
  • Speichere auf deinem Desktop
  • Per Doppelklick starten.
  • wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

Alt 10.12.2009, 10:27   #9
Al Pacina
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



Über solche Nachrichten freut man sich doch richtig! Also doch der Todesstoß! Trotzdem danke für all deine Bemühungen. Ich denke ich habe auch das ein oder andere lernen können.
Hab heut noch eine Prüfung zu schreiben, danach werd ich mich meiner großen Aufgabe widmen

Nur noch 3 Fragen:
-Mein Bruder hatte meine externe Festplatte in Benutzung bei der Datensicherung bevor er Windows 7 installiert hat. Was sollte der jetz machen? Oder hat er sich nicht zwangsläufig infiziert?

- Wie siehts aus mit Online-Banking? Ich hab die Infektion ja nicht gleich bemerkt. Sollte ich mich mit der Bank in Verbindung setzen, oder einfach nur Passwörter ändern, nach der Neuinstallation? Oder ist das nicht nötig?

-Mir fällt grad noch meine SD Speicherkarte vom Fotoapparat ein, den ich meiner Mutter am WE geben wollte, besteht da auch Gefahr? Muss ich die mit bereinigen?

Lieben Dank nochmal.
Lass es uns zu Ende bringen
Wünsch dir noch einen schönen Tag

Alt 11.12.2009, 13:57   #10
Al Pacina
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



und nun noch kaspersky online scan

Code:
ATTFilter
Friday, December 11, 2009
Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Friday, December 11, 2009 07:25:07
Records in database: 3357004
Scan settings
scan using the following database	extended
Scan archives	yes
Scan e-mail databases	yes
Scan area	My Computer
C:\
D:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
Scan statistics
Objects scanned	83801
Threats found	2
Infected objects found	32
Suspicious objects found	0
Scan duration	05:32:36

File name	Threat	Threats count
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6MGAX36K\fngcd[1].jpg	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9HMRTO0L\rxdplesa[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\byoc[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\ifyv[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\luksak[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\mopbp[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\mopbp[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\mopbp[2].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\ugbbydy[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\ugbbydy[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\wulcgdos[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\xrkg[1].jpg	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\bxgpdal[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\fwpnutfw[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\fwpnutfw[2].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\jrscv[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\oqqnq[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\xjntiyi[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\yuqvktxm[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QB4TYR\mktope[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QB4TYR\okcnivw[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QB4TYR\sflm[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\cjqum[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\gizgib[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\hkfvr[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\jqazx[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\kmuznx[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\uexnxn[1].jpg	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\ugbbydy[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
K:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx	Infected: Net-Worm.Win32.Kido.ih	1	
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx	Infected: Net-Worm.Win32.Kido.ih	1	
L:\technisches\Laptop Treiber\11AutoMail\Fngmhlib.dll	Infected: not-a-virus:Monitor.Win32.KeyPressHooker.b	1	
Selected area has been scanned.
         
und das mbr.log

Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Alt 13.12.2009, 07:29   #11
kira
/// Helfer-Team
 
Wurm:  C:\windows\system32\x   Conficker - Standard

Wurm: C:\windows\system32\x Conficker



Zitat:
Zitat von Al Pacina Beitrag anzeigen
Nur noch 3 Fragen:
-Mein Bruder hatte meine externe Festplatte in Benutzung bei der Datensicherung bevor er Windows 7 installiert hat. Was sollte der jetz machen? Oder hat er sich nicht zwangsläufig infiziert?
nachhinein schwer zu sagen, aber würde ich auf jeden Fall ein paar Online-Prüfung empfehlen-> (benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -
Code:
ATTFilter
Kaspersky
NOD32/Eset
Symantec/Norton
         
Wichtig! - der AUTORUN-Funktion kurzfristig verhindern:
- bei anschließen die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird

Zitat:
Zitat von Al Pacina Beitrag anzeigen
- Wie siehts aus mit Online-Banking? Ich hab die Infektion ja nicht gleich bemerkt. Sollte ich mich mit der Bank in Verbindung setzen, oder einfach nur Passwörter ändern, nach der Neuinstallation? Oder ist das nicht nötig?
- mit der Bank in Verbindung setzen - würd ich ja machen
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! ) oder/und sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen

Zitat:
Zitat von Al Pacina Beitrag anzeigen
-Mir fällt grad noch meine SD Speicherkarte vom Fotoapparat ein, den ich meiner Mutter am WE geben wollte, besteht da auch Gefahr? Muss ich die mit bereinigen?
wie bei deine externe Festplatte, anschließen und online scannen lassen!

Also dein MBR ist in Ordnung, kann`s los gehen...
- Daten sichern: Vorsicht mit Datensicherung!: ► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.

Tipps & Hilfe:
SETI@home-Sicherheit / Sicherheitskonzept
Anleitung: Neuaufsetzen des Systems + Absicherung
Was muss ich bei einer Neuinstallation beachten?/computerleben.net
Windows XP neu installieren/computerleben.net

Geändert von kira (13.12.2009 um 07:45 Uhr)

Antwort

Themen zu Wurm: C:\windows\system32\x Conficker
adobe, anti malware, antivir guard, avira, bho, bonjour, conficker, desktop, disabled.securitycenter, einstellungen, explorer, google, hijack, hijack.system.hidden, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, malwarebytes, malwarebytes anti-malware, malwarebytes' anti-malware, microsoft, programme, registrierungsschlüssel, security, software, sysem32/x, system, trojaner, windows, windows xp, worm.conficker, wurm, würmer



Ähnliche Themen: Wurm: C:\windows\system32\x Conficker


  1. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  2. Malware-gen in C:\Windows\System32\services.exe Windows 7 Service Pack 1 x86 NTFS
    Log-Analyse und Auswertung - 11.11.2012 (13)
  3. incredibar eingefangen/ DLL C:\Windows\system32\MSCTF.dll ist keine gültige windows datei
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (22)
  4. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  5. Conficker - Wurm (Recycler) auf USB-Stick bzw. Laptop
    Log-Analyse und Auswertung - 14.07.2012 (1)
  6. [Worm:Win32/Conficker.B!inf] Conficker Befall
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  7. Microsoft Security Intelligence Report: Conficker-Wurm weiterhin größte Bedrohung für Unternehmen
    Nachrichten - 27.04.2012 (0)
  8. Windows XP Security Center / Conficker Worm
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (23)
  9. WORM/Conficker.Z.59 in C:\WINDOWS\system32\kncyqhg.dll gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.11.2011 (1)
  10. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  11. Conficker-Virus ohne Admin-Rechte entfernen? (Conficker, Downadup, Kido,...)
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (9)
  12. /Windows/system32/config/system - Fehler mit Windows und beim Starten des PCs.
    Alles rund um Windows - 25.04.2010 (4)
  13. Forscher bremsen Conficker-Wurm aus
    Nachrichten - 07.07.2009 (0)
  14. ESET meldet WIN32/Conficker.AL Wurm
    Plagegeister aller Art und deren Bekämpfung - 02.07.2009 (0)
  15. Conficker unter Vista: Fragen zum Autorun hack von Conficker
    Plagegeister aller Art und deren Bekämpfung - 22.01.2009 (0)
  16. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  17. system32.exe ?!?! ist das ein wurm oder trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.04.2003 (42)

Zum Thema Wurm: C:\windows\system32\x Conficker - Hallo, Antivir zeigt mir immer wieder den Fund C:\windows\system32\x an, kann diesen aber nicht löschen.... egal ob ich das ganze in Quarantäne verschiebe, Lösche... kommt ständig wieder. Hier ist mein - Wurm: C:\windows\system32\x Conficker...
Archiv
Du betrachtest: Wurm: C:\windows\system32\x Conficker auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.