Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.02.2010, 23:02   #1
NoHacking
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Hi Leute, bin neu hier, vielleicht könnt ihr mir helfen, imGoogle finde ich nicht so recht was...

Mein Antivir (Freeware findet immer wieder den TR/Rootkit.Gen

Hier der Report:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 20. Februar 2010 19:15

Es wird nach 1775102 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : FUJITSU-9B87BAD

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 08.12.2009 16:40:19
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:53:59
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:54:02
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 21:04:20
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 21:57:12
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 21:57:12
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 21:57:12
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 21:57:12
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 21:57:12
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 21:57:12
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 21:57:12
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 21:57:12
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 21:57:12
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 21:57:13
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 21:57:13
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 22:05:57
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 12:17:49
VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 12:17:49
VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 12:17:49
VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 01:01:36
VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 01:01:37
VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 01:01:40
VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 12:22:48
VBASE022.VDF : 7.10.4.50 107520 Bytes 15.02.2010 12:32:43
VBASE023.VDF : 7.10.4.62 105472 Bytes 15.02.2010 12:32:43
VBASE024.VDF : 7.10.4.85 111616 Bytes 17.02.2010 11:14:44
VBASE025.VDF : 7.10.4.86 2048 Bytes 17.02.2010 11:14:44
VBASE026.VDF : 7.10.4.87 2048 Bytes 17.02.2010 11:14:44
VBASE027.VDF : 7.10.4.88 2048 Bytes 17.02.2010 11:14:44
VBASE028.VDF : 7.10.4.89 2048 Bytes 17.02.2010 11:14:44
VBASE029.VDF : 7.10.4.90 2048 Bytes 17.02.2010 11:14:44
VBASE030.VDF : 7.10.4.91 2048 Bytes 17.02.2010 11:14:44
VBASE031.VDF : 7.10.4.104 92160 Bytes 19.02.2010 22:28:34
Engineversion : 8.2.1.172
AEVDF.DLL : 8.1.1.3 106868 Bytes 22.01.2010 21:15:23
AESCRIPT.DLL : 8.1.3.16 827771 Bytes 19.02.2010 22:28:37
AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 10:43:52
AESBX.DLL : 8.1.1.1 246132 Bytes 20.11.2009 15:54:07
AERDL.DLL : 8.1.4.2 479602 Bytes 13.02.2010 12:22:52
AEPACK.DLL : 8.2.0.8 426357 Bytes 13.02.2010 12:22:51
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 19.02.2010 22:28:36
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 19.02.2010 22:28:36
AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 12:55:31
AEGEN.DLL : 8.1.1.87 369013 Bytes 19.02.2010 22:28:34
AEEMU.DLL : 8.1.1.0 393587 Bytes 04.10.2009 17:17:19
AECORE.DLL : 8.1.11.1 184694 Bytes 05.02.2010 12:17:51
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 20.10.2009 14:32:52
AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 22:28:38
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 08.12.2009 16:40:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: umbenennen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 20. Februar 2010 19:15

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '41879' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP238\A0063739.sys.VIR
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bb032db.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP238\A0063740.sys.VIR
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a31410c.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064845.sys.VIR
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bb0330e.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064848.sys.VIR
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3140df.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 20. Februar 2010 20:28
Benötigte Zeit: 1:13:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7721 Verzeichnisse wurden überprüft
277159 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
277153 Dateien ohne Befall
2205 Archive wurden durchsucht
2 Warnungen
5 Hinweise
41879 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Und hier mein HiJackthis-Scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:16, on 20.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programme\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1454471165-1637723038-725345543-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Allgemein')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Update Service (gupdate1c993774f502114) (gupdate1c993774f502114) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6297 bytes


Könnt ihr damit was anfangen, ist mein "Rootkit" vielleicht harmlos?? Ihr wäre euch sehr dankbar, wenn ich mir helfen könnt.

Alt 21.02.2010, 21:51   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 22.02.2010, 16:05   #3
NoHacking
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Hallo,
ich habe die Liste befolgt. Die Suche hier aufm Board bringt auch eingige Ergenisse. Aber die helfen mir nicht wirklich weiter, keine "Patentlösung"(außer "System neuaufsetzen")
Ich denke, die gleich Malware kann sich bei jedem wo anders einnisten und jedes System ist anders, also kann man ja schlecht eine Lösung auf alle anwenden, oder?!

Gibt es kein Prog, dass so nen "Rootkit" besser identifizieren kann (ob's wirklich eins is und wo) und auch elemenieren kann??

Könnt ihr denn mit meinen Logfiles nix anfangen, warum soll ich mehrere Logs verlinken, reicht einer nicht aus? Hilft es weiter wenn ich "Gmer"-Scans poste??
__________________

Alt 22.02.2010, 16:12   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Warum postest Du die Logs nicht?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.02.2010, 16:17   #5
NoHacking
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Zitat:
Zitat von cosinus Beitrag anzeigen
Warum postest Du die Logs nicht?
Scan gerade...
Ist das richtig, dass es reicht, "Services", "Registry" und "Files" zu scannen??


Alt 22.02.2010, 16:41   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Befolge einfach die Anleitung...
__________________
--> Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?

Alt 22.02.2010, 17:06   #7
NoHacking
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Es wäre leichter, wenn du mir sagst, was aus der Anleitung och fehlt, dass ihr mir helfen könnt...

Hier noch der Gmer-Scan:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2010-02-22 17:02:46
Windows 5.1.2600 Service Pack 3


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DTLight\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x92 0x46 0xB5 0xC0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x22 0x11 0x12 0xEC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xBA 0xBA 0xBE 0x4A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DTLight\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x92 0x46 0xB5 0xC0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x22 0x11 0x12 0xEC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xBA 0xBA 0xBE 0x4A ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl (size mismatch) 8192/4096 bytes

---- EOF - GMER 1.0.15 ----

Alt 22.02.2010, 17:15   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Zitat:
Zitat von NoHacking Beitrag anzeigen
Es wäre leichter, wenn du mir sagst, was aus der Anleitung och fehlt, dass ihr mir helfen könnt...
Ist es so schwierig die Anleitung zu lesen? Die ist extra dafür da, dass ich nicht jedem Hilfesuchenden hier an die Hand nehmen muss
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.02.2010, 17:23   #9
NoHacking
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Oh man, hatte nur die "Regeln" gelesen... Wer "scrollen" ist klar im Vorteil...
OK, dann bin ich ma beschäftig...
Mit den Logs kann man so noch nix anfangen??

Alt 22.02.2010, 17:25   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Doch, man kann mit den Logs ein wenig was anfangen, aber ich will noch die anderen sehen bevor ich was dazu schreibe.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.02.2010, 19:22   #11
NoHacking
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



So, hat alles funktioniert, Anleitung abgearbeitet und "Malwarbytes ist auch "fündig" geworden...
Ich poste die Logs nochmal direkt wenns OK ist, bin bei "File-Upload" noch nicht registriert"...(habs bisher noch nie gebraucht)
----------------------------------------------------------------------------

Malware-Log:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3776
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

22.02.2010 19:02:09
mbam-log-2010-02-22 (19-01-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 210881
Laufzeit: 1 hour(s), 21 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064845.sys.VIR (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064848.sys.VIR (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064851.exe (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{A74A910E-F8F7-4C92-A4EF-B25D40EC0C55}\RP239\A0064849.exe (Rogue.Security.Tool) -> No action taken.
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> No action taken.
C:\WINDOWS\system32\getuname.dll.VIR (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.


Und der RSIT-Log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by FUJITSU SIEMENS at 2010-02-22 19:09:15
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 12 GB (22%) free of 57 GB
Total RAM: 991 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:09:18, on 22.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Sicherheit\RSIT\RSIT.exe
C:\Programme\Trend Micro\HijackThis\FUJITSU SIEMENS.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programme\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Update Service (gupdate1c993774f502114) (gupdate1c993774f502114) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6137 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll [2007-08-24 2212224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\bin\jp2ssv.dll [2010-01-29 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll [2010-01-29 79648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"=C:\WINDOWS\SiSUSBrg.exe [2002-07-12 106496]
"SiSPower"=SiSPower.dll,ModeAgent []
"SiS Windows KeyHook"=C:\WINDOWS\system32\keyhook.exe [2004-09-02 249856]
"AVMWlanClient"=C:\Programme\avmwlanstick\FRITZWLANMini.exe [2007-02-02 283136]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"NokiaMServer"=C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []
"NokiaMusic FastStart"=C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2009-07-22 2331936]
"GrooveMonitor"=C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2007-08-24 33648]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-11-10 417792]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"=C:\Programme\CCleaner\ccleaner.exe [2010-01-26 1724728]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2007-08-24 33648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\Windows Live\Messenger\msnmsgr.exe /background []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2004-05-07 536576]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2004-05-07 98304]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
C:\Programme\Veoh Networks\Veoh\VeohClient.exe /VeohHide []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMCL]
C:\Programme\vodafone\vmclite\DongleEnumerator.exe [2007-06-04 131072]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WHITNEY_S2P]
C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe [2006-03-27 229376]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Online-Registrierung.lnk]
C:\PROGRA~1\CYBERL~1\PowerDVD\OLREG.URL [2008-04-03 190]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PalTalk.lnk]
C:\PROGRA~1\PALTAL~1\paltalk.exe nas []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD deinstallieren.lnk]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll [2001-09-05 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD-Hilfe.lnk]
C:\PROGRA~1\CYBERL~1\PowerDVD\PowerDVD.CHM [2002-12-04 268907]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD.lnk]
C:\PROGRA~1\CYBERL~1\PowerDVD\PowerDVD.exe [2002-12-17 397312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Readme.lnk]
C:\WINDOWS\NOTEPAD.EXE [2008-04-14 70144]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Systemdiagnose.lnk]
C:\PROGRA~1\CYBERL~1\PowerDVD\CLDMA.exe [2002-03-07 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3
"WMPNetworkSvc"=3
"ose"=3
"odserv"=3
"usnjsvc"=3
"Themes"=2
"Apple Mobile Device"=2

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll [2007-08-24 2212224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoDriveAutoRun"=67108863
"HonorAutorunSetting"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client"
"C:\Programme\Paltalk Messenger\paltalk.exe"="C:\Programme\Paltalk Messenger\paltalk.exe:*:Enabled:PaltalkScene"
"C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Desktop\msnmsgr.exe"="C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Desktop\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\QuickTime\QuickTimePlayer.exe"="C:\Programme\QuickTime\QuickTimePlayer.exe:*:Enabled:QuickTime Player"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe"="C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81d377a3-0031-11dd-b16b-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81d377a4-0031-11dd-b16b-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{926da041-f9bf-11dc-b151-806d6172696f}]
shell\AutoRun\command - D:\start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{957d513c-0143-11dd-b16d-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{957d513d-0143-11dd-b16d-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adf00a2c-c9df-11dd-b2cc-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1591594-0238-11dd-b174-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1591595-0238-11dd-b174-00030d28ee8f}]
shell\AutoRun\command - E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d049bc30-a76d-11dd-b27f-00030d28ee8f}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d049bc33-a76d-11dd-b27f-00030d28ee8f}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df77a1dd-1891-11de-b397-001f3f02d595}]
shell\AutoRun\command - E:\setupSNK.exe


======List of files/folders created in the last 1 months======

2010-02-22 17:37:10 ----D---- C:\rsit
2010-02-22 17:29:26 ----D---- C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Malwarebytes
2010-02-22 17:29:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-20 22:40:52 ----D---- C:\Programme\Trend Micro
2010-02-19 23:17:11 ----D---- C:\Programme\Security
2010-02-10 14:14:44 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$
2010-02-10 14:14:31 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$
2010-02-10 14:11:29 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$
2010-02-10 14:11:22 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$
2010-02-10 14:11:08 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$
2010-02-10 14:10:57 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$
2010-02-10 14:09:40 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$
2010-02-10 14:09:24 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$
2010-02-10 14:09:05 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$
2010-01-29 11:02:18 ----A---- C:\WINDOWS\system32\javaws.exe
2010-01-29 11:02:18 ----A---- C:\WINDOWS\system32\javaw.exe
2010-01-29 11:02:18 ----A---- C:\WINDOWS\system32\java.exe
2010-01-29 11:02:18 ----A---- C:\WINDOWS\system32\deploytk.dll
2010-01-29 10:56:48 ----D---- C:\Programme\QuickTime
2010-01-26 23:01:38 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations

======List of files/folders modified in the last 1 months======

2010-02-22 19:06:53 ----D---- C:\WINDOWS\Prefetch
2010-02-22 19:06:15 ----D---- C:\WINDOWS
2010-02-22 19:06:13 ----D---- C:\WINDOWS\Temp
2010-02-22 19:05:52 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-22 19:04:53 ----D---- C:\WINDOWS\system32\drivers
2010-02-22 19:04:07 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-02-22 19:03:20 ----D---- C:\WINDOWS\fsc
2010-02-22 19:02:31 ----D---- C:\WINDOWS\system32
2010-02-22 17:36:19 ----D---- C:\Programme\Sicherheit
2010-02-20 22:40:52 ----RD---- C:\Programme
2010-02-20 19:11:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-02-20 15:43:13 ----D---- C:\WINDOWS\Debug
2010-02-20 15:43:03 ----D---- C:\WINDOWS\Minidump
2010-02-20 00:34:16 ----SHD---- C:\RECYCLER
2010-02-20 00:26:43 ----SHD---- C:\WINDOWS\Installer
2010-02-20 00:26:16 ----D---- C:\Dokumente und Einstellungen
2010-02-20 00:02:28 ----D---- C:\Programme\Messenger
2010-02-19 23:27:38 ----SD---- C:\Dokumente und Einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Microsoft
2010-02-19 23:20:25 ----D---- C:\WINDOWS\system32\config
2010-02-19 23:18:55 ----D---- C:\WINDOWS\system32\wbem
2010-02-19 23:18:52 ----D---- C:\WINDOWS\Registration
2010-02-19 23:18:04 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-02-19 22:19:29 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-02-19 20:35:25 ----A---- C:\WINDOWS\win.ini
2010-02-19 20:35:25 ----A---- C:\WINDOWS\system.ini
2010-02-11 15:27:45 ----HD---- C:\WINDOWS\inf
2010-02-10 14:14:44 ----HD---- C:\WINDOWS\$hf_mig$
2010-02-10 14:10:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-02-08 03:37:15 ----D---- C:\Programme\Google
2010-02-01 20:26:20 ----A---- C:\WINDOWS\system32\MRT.exe
2010-02-01 11:49:48 ----D---- C:\WINDOWS\WinSxS
2010-01-29 11:02:19 ----D---- C:\Programme\Java
2010-01-29 10:55:37 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2010-01-29 10:53:48 ----D---- C:\Programme\Player
2010-01-29 10:38:36 ----D---- C:\Programme\Mozilla Firefox
2010-01-26 23:28:49 ----D---- C:\Programme\Nokia
2010-01-26 12:21:32 ----RSD---- C:\WINDOWS\assembly
2010-01-26 02:53:07 ----RSD---- C:\WINDOWS\Fonts
2010-01-26 02:53:00 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-01-26 02:52:20 ----D---- C:\Programme\Microsoft Works

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD Athlon64-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2003-11-07 38400]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 SiSkp;SiSkp; C:\WINDOWS\system32\DRIVERS\srvkp.sys [2004-09-02 12928]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2009-08-28 271360]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2009-08-28 18048]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 CONAN;CONAN; C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 191092]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 MbxStby;MbxStby; C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-27 6100]
R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 Mtlmnt5;Mtlmnt5; C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys [2004-04-19 230656]
R3 SiS315;SiS315; C:\WINDOWS\system32\DRIVERS\sisgrp.sys [2004-09-03 229888]
R3 SISNIC;SiS-PCI-Fast Ethernet- Adaptertreiber; C:\WINDOWS\system32\DRIVERS\sisnic.sys [2004-08-03 32768]
R3 Slntamr;SmartLink AMR_PCI Driver; C:\WINDOWS\system32\DRIVERS\slntamr.sys [2004-04-19 635152]
R3 SlWdmSup;SlWdmSup; C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys [2004-04-19 13312]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-05-07 182688]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 VIAudio;Vinyl AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\vinyl97.sys [2004-07-23 159488]
S2 DgiVecp;DgiVecp; \??\C:\WINDOWS\system32\Drivers\DgiVecp.sys []
S2 SSPORT;SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys []
S3 a87r3br9;a87r3br9; C:\WINDOWS\system32\drivers\a87r3br9.sys []
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2007-01-26 4352]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 esihdrv;esihdrv; \??\C:\DOKUME~1\FUJITS~1\LOKALE~1\Temp\esihdrv.sys []
S3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-01-26 265088]
S3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys []
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 Mtlstrm;Mtlstrm; C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys [2004-04-19 1301488]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2009-02-09 17664]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-02-09 22016]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2009-03-19 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic; C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2009-03-19 8320]
S3 NtMtlFax;NtMtlFax; C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys [2004-04-19 180664]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 PRISM_A00;PRISM 802.11 Driver; C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-07-20 393280]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SlNtHal;SlNtHal; C:\WINDOWS\system32\DRIVERS\Slnthal.sys [2004-04-19 95760]
S3 SoC PC-Camera Service;SoC PC-Camera; C:\WINDOWS\system32\DRIVERS\pfc027.sys [2004-03-24 138396]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-02-09 7808]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 usbser;USB Modem Driver; C:\WINDOWS\system32\drivers\usbser.sys [2008-04-13 26112]
S3 UsbserFilt;UsbserFilt; C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-02-09 7808]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 Wdf01000;Kernel Mode Driver Frameworks service; C:\WINDOWS\System32\Drivers\wdf01000.sys [2008-03-27 503008]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-10-20 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\bin\jqs.exe [2010-01-29 153376]
R2 SLService;SmartLinkService; C:\WINDOWS\system32\slserv.exe [2004-04-19 45056]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 gupdate1c993774f502114;Google Update Service (gupdate1c993774f502114); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-20 133104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2007-08-24 68464]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service; C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe [2008-12-11 98488]
S3 ServiceLayer;ServiceLayer; C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe [2009-06-02 637952]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------


Danke für deine Mühe Arne!!

Alt 22.02.2010, 19:38   #12
NoHacking
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Weiß nicht, obs wichtig ist, aber das Zeug hab ich mir alles als "Administrator" surfend eingefangen. Mittlerweile tu ich das nicht mehr...

Alt 22.02.2010, 20:41   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Ja, mit Adminrechten sollte man am besten garnicht surfen und auch am besten nicht mit dem IE

Zitat:
C:\WINDOWS\system32\Drivers\DgiVecp.sys
C:\WINDOWS\system32\Drivers\SSPORT.sys
C:\WINDOWS\system32\drivers\a87r3br9.sys
C:\Dokumente und Einststellungen\FUJITSU SIEMENS\Lokale Einstellungen\Temp\esihdrv.sys
Bitte diese Dateien bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Dateien nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn eine Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Danach bitte - wegen der Rootkitfunde - auch ein Log mit CF machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.02.2010, 21:16   #14
NoHacking
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



Wow, ok!
Hier schon mal die Links (wusste jetzt nicht, welchen die URL nachm hochladen, oder den "Permalink"??) Hier mal ersteres:

(in der gleichen Reihenfolge)

http://www.virustotal.com/de/reanalisis.html?266f7bca224b223b60a3c7f15be59e3cc83b16be4089fb2cd4d801d564a38fee-1266868273

"C:\WINDOWS\system32\Drivers\SSPORT.sys" ->>> nicht gefunden! (trotz "sichbar machen..."

"C:\WINDOWS\system32\drivers\a87r3br9.sys" ->>> auch nicht gefunden!

"C:\Dokumente und Einststellungen\FUJITSU SIEMENS\Lokale Einstellungen\Temp\esihdrv.sys"->>> nicht gefunden!

So dann mach ich jetzt den ComboFix-Zeug

Alt 22.02.2010, 21:44   #15
NoHacking
 
Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Standard

Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?



So, fertig:
Combofix-Logfile:

ComboFix 10-02-21.02 - FUJITSU SIEMENS 22.02.2010 21:33:47.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\FUJITSU SIEMENS\Desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
c:\recycler\S-1-5-21-1454471165-1637723038-725345543-500
c:\windows\system32\setup.ini

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-22 bis 2010-02-22 ))))))))))))))))))))))))))))))
.

2010-02-22 16:37 . 2010-02-22 18:09 -------- d-----w- C:\rsit
2010-02-22 16:29 . 2010-02-22 16:29 -------- d-----w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Malwarebytes
2010-02-22 16:29 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-22 16:29 . 2010-02-22 16:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-22 16:29 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-20 21:40 . 2010-02-20 21:40 -------- d-----w- c:\programme\Trend Micro
2010-02-20 12:28 . 2010-01-25 09:02 349552 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe.exe
2010-02-20 12:28 . 2010-01-25 09:02 31936 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
2010-02-20 12:28 . 2010-01-25 09:02 67360 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlus_Helper.dll
2010-02-20 12:28 . 2010-01-25 09:02 29344 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe
2010-02-20 12:23 . 2010-02-20 12:23 -------- d-----w- c:\dokumente und einstellungen\Allgemein\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-02-19 23:27 . 2010-02-19 23:27 -------- d-----w- c:\dokumente und einstellungen\Allgemein\Lokale Einstellungen\Anwendungsdaten\Nokia
2010-02-19 22:18 . 2010-02-19 22:18 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-19 22:17 . 2010-02-19 22:17 -------- d-----w- c:\programme\Security
2010-02-19 19:31 . 2010-02-19 19:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-02-19 19:30 . 2010-02-19 21:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-02-19 19:10 . 2010-02-19 19:10 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-02-19 19:08 . 2010-02-22 20:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2010-02-19 19:08 . 2010-02-19 22:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Vorlagen
2010-02-19 19:08 . 2010-02-19 22:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2010-02-19 19:08 . 2010-02-19 22:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
2010-02-19 19:08 . 2010-02-19 22:18 -------- d-s---w- c:\dokumente und einstellungen\Administrator
2010-01-29 10:02 . 2010-01-29 10:02 348160 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\msvcr71.dll
2010-01-29 10:02 . 2010-01-29 10:02 503808 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\msvcp71.dll
2010-01-29 10:02 . 2010-01-29 10:02 499712 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\jmc.dll
2010-01-29 10:02 . 2010-01-29 10:02 61440 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2fc012fe-n\decora-sse.dll
2010-01-29 10:02 . 2010-01-29 10:02 12800 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2fc012fe-n\decora-d3d.dll
2010-01-29 10:02 . 2010-01-29 10:01 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-29 10:01 . 2010-01-29 10:01 79488 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\jre1.6.0_18\gtapi.dll
2010-01-29 09:56 . 2010-01-29 09:57 -------- d-----w- c:\programme\QuickTime
2010-01-27 09:41 . 2010-01-27 09:41 -------- d-----r- c:\dokumente und einstellungen\FUJITSU SIEMENS\Favoriten
2010-01-26 22:02 . 2010-01-26 22:01 24437624 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_de.exe
2010-01-26 22:01 . 2010-01-26 22:01 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\Sleep.exe
2010-01-26 22:01 . 2010-01-26 22:01 3351812 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\msxml6Exec.exe
2010-01-26 22:01 . 2010-01-26 22:01 3203453 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\vcredistExec.exe
2010-01-26 22:01 . 2010-01-26 22:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-22 16:36 . 2009-10-11 22:51 -------- d-----w- c:\programme\Sicherheit
2010-02-20 18:11 . 2009-12-02 18:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-02-19 18:56 . 2010-02-19 18:55 20 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat
2010-02-10 13:10 . 2008-06-16 15:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-02-08 02:37 . 2009-02-20 16:05 -------- d-----w- c:\programme\Google
2010-01-29 10:02 . 2008-03-24 16:46 -------- d-----w- c:\programme\Java
2010-01-29 09:55 . 2008-06-03 08:57 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-01-29 09:53 . 2009-04-27 21:29 -------- d-----w- c:\programme\Player
2010-01-26 22:29 . 2008-03-24 17:15 73936 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-26 22:28 . 2009-10-22 15:20 -------- d-----w- c:\programme\Nokia
2010-01-26 01:52 . 2008-07-27 20:34 -------- d-----w- c:\programme\Microsoft Works
2010-01-14 19:43 . 2004-08-04 12:00 89124 ----a-w- c:\windows\system32\perfc007.dat
2010-01-14 19:43 . 2004-08-04 12:00 471232 ----a-w- c:\windows\system32\perfh007.dat
2010-01-12 16:22 . 2010-01-12 16:22 73936 ----a-w- c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-05 09:52 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 09:52 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:52 . 2004-08-04 12:00 17408 ------w- c:\windows\system32\corpol.dll
2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-25 13:10 . 2009-12-25 13:10 -------- d-----w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\PTV AG
2009-12-25 13:08 . 2008-03-24 16:56 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-25 13:01 . 2009-12-25 13:01 -------- d-----w- c:\programme\Gemeinsame Dateien\GIS
2009-12-25 13:01 . 2009-12-25 13:01 -------- d-----w- c:\programme\Gemeinsame Dateien\mapserv
2009-12-25 12:45 . 2009-12-25 12:44 -------- d-----w- c:\programme\Tourenplaner
2009-12-18 14:37 . 2004-08-04 12:00 24064 ----a-w- c:\windows\system32\ctfmon.exe
2009-12-17 07:40 . 2008-03-24 16:38 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:06 . 2004-08-04 12:00 2191488 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:06 . 2004-08-04 00:50 2068352 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 16:40 . 2009-07-21 15:43 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-27 17:11 . 2004-08-04 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:11 . 2004-08-04 00:57 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:08 . 2004-08-04 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:08 . 2004-08-04 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:08 . 2004-08-04 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:08 . 2004-08-04 00:57 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:08 . 2001-08-18 04:54 8704 ----a-w- c:\windows\system32\tsbyuv.dll
2009-02-20 16:17 . 2009-02-20 16:17 359656 ----a-w- c:\programme\InstallerCleanUp.exe
2009-02-20 16:10 . 2009-02-20 16:10 512600 ----a-w- c:\programme\GoogleEarthWin.exe
2009-02-20 16:04 . 2009-02-20 16:04 1046648 ----a-w- c:\programme\Google Updater.exe
.

------- Sigcheck -------

[-] 2009-12-18 14:37 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-12-18 14:37 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\programme\CCleaner\ccleaner.exe" [2010-01-26 1724728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"SiSPower"="SiSPower.dll" [2004-09-02 49152]
"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2004-09-02 249856]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NokiaMusic FastStart"="c:\programme\Nokia\Nokia Music\NokiaMusic.exe" [2009-07-22 2331936]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-12-18 24064]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Utility Tray.lnk - c:\windows\system32\sistray.exe [2008-3-24 331776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Online-Registrierung.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Online-Registrierung.lnk
backup=c:\windows\pss\Online-Registrierung.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PalTalk.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PalTalk.lnk
backup=c:\windows\pss\PalTalk.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD deinstallieren.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD deinstallieren.lnk
backup=c:\windows\pss\PowerDVD deinstallieren.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD-Hilfe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD-Hilfe.lnk
backup=c:\windows\pss\PowerDVD-Hilfe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD.lnk
backup=c:\windows\pss\PowerDVD.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Readme.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Readme.lnk
backup=c:\windows\pss\Readme.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Systemdiagnose.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Systemdiagnose.lnk
backup=c:\windows\pss\Systemdiagnose.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2007-08-24 05:00 33648 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-05-07 09:49 536576 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-05-07 09:49 98304 ----a-w- c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMCL]
2007-06-04 13:00 131072 ----a-w- c:\programme\Vodafone\VMCLite\DongleEnumerator.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WHITNEY_S2P]
2006-03-27 06:35 229376 ----a-w- c:\programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"usnjsvc"=3 (0x3)
"Themes"=2 (0x2)
"Apple Mobile Device"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP2\\RpcAgentSrv.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.07.2009 16:43 108289]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [24.03.2008 18:05 191092]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [01.02.2009 13:44 265088]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [24.03.2008 18:05 6100]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.07.2009 18:48 721904]
S2 gupdate1c993774f502114;Google Update Service (gupdate1c993774f502114);c:\programme\Google\Update\GoogleUpdate.exe [20.02.2009 17:21 133104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\programme\Lavasoft\Ad-Aware\AAWService.exe" --> c:\programme\Lavasoft\Ad-Aware\AAWService.exe [?]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [01.02.2009 13:45 4352]
S3 esihdrv;esihdrv;\??\c:\dokume~1\FUJITS~1\LOKALE~1\Temp\esihdrv.sys --> c:\dokume~1\FUJITS~1\LOKALE~1\Temp\esihdrv.sys [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [22.10.2009 16:20 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [22.10.2009 16:20 8320]
S3 PRISM_A00;PRISM 802.11 Driver;c:\windows\system32\drivers\PRISMA00.sys [20.07.2004 20:16 393280]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe [24.01.2009 22:35 98488]
.
Inhalt des "geplante Tasks" Ordners

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-20 16:21]

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-20 16:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
mWindow Title =
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Mozilla\Firefox\Profiles\bhy0306t.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\programme\Java\bin\new_plugin\npjp2.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
pref(dom.disable_open_during_load, true);c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-MsnMsgr - c:\programme\Windows Live\Messenger\msnmsgr.exe
MSConfigStartUp-Veoh - c:\programme\Veoh Networks\Veoh\VeohClient.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-22 21:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system.ini 227 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2010-02-22 21:40:41
ComboFix-quarantined-files.txt 2010-02-22 20:40

Vor Suchlauf: 11 Verzeichnis(se), 12.852.461.568 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 12.903.972.864 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /maxmem=992

- - End Of File - - E8D77E5918D9ADD31CF7E36A99B5F2F5

Antwort

Themen zu Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?
.dll, 0 bytes, ad-aware, adobe, antivir, antivir guard, avg, avgnt.exe, bho, browser, desktop, firefox, gupdate, hijack, hkus\s-1-5-18, internet, internet explorer, mozilla, nt.dll, object, prozesse, registry, rundll, sched.exe, senden, services.exe, software, stick, suchlauf, svchost.exe, versteckte objekte, verweise, virus gefunden, warnung, windows



Ähnliche Themen: Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?


  1. Rootkit oder Malware?
    Alles rund um Mac OSX & Linux - 20.01.2015 (4)
  2. Problem oder nicht? Avast nach Update -Rootkit-Fund
    Plagegeister aller Art und deren Bekämpfung - 12.12.2014 (3)
  3. Rootkit oder RAT
    Mülltonne - 15.06.2014 (1)
  4. - Rootkit entdeckt ! Win7 - Anti-Rootkit o. Neuinstallation ?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2014 (13)
  5. GMER - Rootkit Scanner - VMAUTHSERVICE Rootkit
    Log-Analyse und Auswertung - 27.10.2013 (5)
  6. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  7. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  8. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  9. click.GiftLoad oder TR/Crypt.XPACK.Gen2 oder Rootkit.TDSS.Gen ?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (3)
  10. Bin mir nicht Sicher ob ich mit einem Rootkit oder Trojaner infiziert bin
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (5)
  11. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  12. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  13. rootkit.win32.tdss.d lässt sich nicht löschen oder desinfizieren!
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (43)
  14. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  15. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  16. Malware oder rootkit? was tun?
    Log-Analyse und Auswertung - 23.04.2010 (4)
  17. GMER findet Rootkit - FalsePositive oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (16)

Zum Thema Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? - Hi Leute, bin neu hier, vielleicht könnt ihr mir helfen, imGoogle finde ich nicht so recht was... Mein Antivir (Freeware findet immer wieder den TR/Rootkit.Gen Hier der Report: Avira AntiVir - Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?...
Archiv
Du betrachtest: Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.