Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Plagegeister aller Art und deren Bekämpfung: Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.02.2010, 17:26   #1
Tracy34
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Ich versuche den Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys zu entfernen.
Habe es bereits nach Anweisung CCleaner, Malwarebytes und Avenger versucht.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!

Error: could not open file "C:\WINDOWS\system32\drivers\jkxpflaj.sys"
Deletion of file "C:\WINDOWS\system32\drivers\jkxpflaj.sys" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)

Completed script processing.
*******************
Finished! Terminate.

Eine anschließende Überprüfung mit Malwarebytes bring folgendes Ergebnis.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3796
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
28.02.2010 00:56:01
mbam-log-2010-02-28 (00-56-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 254938
Laufzeit: 1 hour(s), 17 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370603.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370613.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\jkxpflaj.sys (Rootkit.Agent) -> Delete on reboot.


Der Rootkit bleibt, obwohl ich ihm bereits mehrfach mit Avenger und Malwarebyts versucht habe zu entfernen. Der Rootkit scheint sich immer wieder selbst zu installieren. Nach dem entfernen taucht er mit aktuellem Datum wieder auf.
Ich bin schon vom Anbieter gesperrt worden wg. Massenmailverkehr, traue mich fast nicht mehr ins Internet. Ich bitte um Hilfe.

Alt 28.02.2010, 22:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Hallo und

Poste bitte RSIT Logfiles, wahrscheinlich reicht es nicht aus, nur die jkxpflaj.sys zu löschen.
__________________

__________________
Alt 01.03.2010, 13:55   #3
Tracy34
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Hallo,
ich habe RSIT gestartet und das ist das Ergebnis. Leider ziemlich umfangreich, ich hoffe ich habe nichts falsch gemacht.

Logfile of random's system information tool 1.06 (written by random/random)
Run by **** at 2010-03-01 13:36:37
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 50 GB (62%) free of 81 GB
Total RAM: 895 MB (20% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:36:50, on 01.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\CheckPoint\ZAForceField\ForceField.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Marion Kaiser\Eigene Dateien\Downloads\RSIT.exe
C:\Programme\trend micro\Marion Kaiser.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PestPatrolRegistration] C:\Programme\PestPatrol\Register.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C-\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Programme\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [MaxMenuMgr] "C:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [EPSON SX510W Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE /FU "C:\WINDOWS\TEMP\E_SCF.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Epson Stylus SX510W(Netzwerk)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE /FU "C:\WINDOWS\TEMP\E_SD2.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138609647437
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: Seagate Service (FreeAgentGoNext Service) - Seagate Technology LLC - C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 12736 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Epson Printer Software Downloader.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
Yahoo! Toolbar Helper - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2005-09-24 63136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 184423]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}]
ZoneAlarm Toolbar Registrar - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2009-10-14 578928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9421DD08-935F-4701-A9CA-22DF90AC4EA6}]
Easy Photo Print - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll [2008-04-02 266240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-12-04 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]
EpsonToolBandKicker Class - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar mit Pop-Up-Blocker - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Easy Photo Print - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll [2008-04-02 266240]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-12-04 256112]
{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - ZoneAlarm Toolbar - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2009-10-14 578928]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-12-14 577536]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2004-07-22 88361]
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [2004-08-04 59392]
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168]
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168]
"AntivirusRegistration"=C:\Programme\CA\Etrust Antivirus\Register.exe [2005-08-22 258048]
"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2004-08-04 208952]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2005-10-28 761945]
"PestPatrolRegistration"=C:\Programme\PestPatrol\Register.exe [2005-08-22 180224]
"PestPatrol Control Center"=C-\PROGRA~1\PESTPA~1\PPControl.exe []
"PPMemCheck"=C:\PROGRA~1\PESTPA~1\PPMemCheck.exe [2004-04-02 148480]
"CookiePatrol"=C:\PROGRA~1\PESTPA~1\CookiePatrol.exe [2005-01-10 73728]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"RemoteControl"=C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe [2004-11-02 32768]
"PCMService"=C:\Programme\Home Cinema\PowerCinema\PCMService.exe [2006-02-09 143360]
"InstantOn"=C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe [2005-03-26 93640]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2006-01-27 180269]
"PCSuiteTrayApplication"=C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe [2006-11-08 222208]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2008-05-27 413696]
"ContentTransferWMDetector.exe"=C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe [2008-07-11 423200]
"EEventManager"=C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe [2009-01-12 669520]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2009-11-22 1037192]
"ISW"=C:\Programme\CheckPoint\ZAForceField\ForceField.exe [2009-10-14 730480]
"MaxMenuMgr"=C:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe [2009-03-27 181544]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\PROGRA~1\MESSEN~1\Msmsgs.exe [2005-08-31 1658592]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-10-28 68856]
"EPSON SX510W Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE [2008-11-20 199680]
"Epson Stylus SX510W(Netzwerk)"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE [2008-11-20 199680]
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
C:\Programme\BearShare\BearShare.exe /pause []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips GoGear Spark Gere-Manager.lnk]
C:\PROGRA~1\Philips\GOGEAR~1\main.exe [2009-04-10 7974455]

C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-11-01 47616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\Programme\MEDION\medionmusic_manager_gold\MusicManager.exe"="C:\Programme\MEDION\medionmusic_manager_gold\MusicManager.exe:*isabled:medionmu sic manager"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*isabled:Firefox"
"C:\Dokumente und Einstellungen\Marion Kaiser\Lokale Einstellungen\Temp\blobby\volley.exe"="C:\Dokumente und Einstellungen\Marion Kaiser\Lokale Einstellungen\Temp\blobby\volley.exe:*isabled:volley"
"C:\Dokumente und Einstellungen\Marion Kaiser\Eigene Dateien\Spiel_DL\volley.exe"="C:\Dokumente und Einstellungen\Marion Kaiser\Eigene Dateien\Spiel_DL\volley.exe:*isabled:volley"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Sony\Media Manager for WALKMAN\MediaManager.exe"="C:\Programme\Sony\Media Manager for WALKMAN\MediaManager.exe:*:Enabled:Media Manager for WALKMAN 1.2"
"C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:*isabled:AOL 9.0"
"C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:*isabled:AOL 9.0"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*isabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*isabled:AOL 9.0 (Connectivity Service)"
"C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe"="C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe:*isabled:Microsoft Flight Simulator 2004"
"C:\Programme\EpsonNet\EpsonNet Setup\tool09\ENEasyApp.exe"="C:\Programme\EpsonNet\EpsonNet Setup\tool09\ENEasyApp.exe:*:Enabled:EpsonNet Setup"
"C:\Programme\Epson Software\Event Manager\EEventManager.exe"="C:\Programme\Epson Software\Event Manager\EEventManager.exe:*:Enabled:EEventManager Application"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"
"C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe"="C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe:*:enabled:Microsoft Flight Simulator 2004"
"C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0"
"C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:enabled:Skype"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6871721e-b8ed-11de-97cf-0040d0892b70}]
shell\AutoRun\command - F:\installer.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{947c6957-aecc-11da-9302-806d6172696f}]
shell\AutoRun\command - D:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e22b02b0-ca44-11de-97eb-0040d0892b70}]
shell\AutoRun\command - F:\Menu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1f263b2-b49f-11de-97c8-0040d0892b70}]
shell\AutoRun\command - F:\Menu.exe


======List of files/folders created in the last 1 months======

2010-02-26 20:37:06 ----D---- C:\Programme\trend micro
2010-02-26 20:37:05 ----D---- C:\rsit
2010-02-26 18:55:20 ----D---- C:\Dokumente und Einstellungen\Marion Kaiser\Anwendungsdaten\Malwarebytes
2010-02-26 18:55:08 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-26 18:55:07 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-02-24 12:59:14 ----D---- C:\Programme\Seagate
2010-02-24 12:59:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Seagate
2010-02-24 12:57:13 ----D---- C:\Dokumente und Einstellungen\Marion Kaiser\Anwendungsdaten\Leadertech
2010-02-24 06:16:42 ----HDC---- C:\WINDOWS\$NtUninstallKB979306$
2010-02-19 11:54:44 ----D---- C:\Programme\Sophos
2010-02-14 17:11:17 ----D---- C:\Dokumente und Einstellungen\Marion Kaiser\Anwendungsdaten\CheckPoint
2010-02-14 17:10:59 ----D---- C:\Programme\CheckPoint
2010-02-14 17:10:55 ----A---- C:\WINDOWS\system32\vsregexp.dll
2010-02-14 17:10:53 ----A---- C:\WINDOWS\system32\zlcommdb.dll
2010-02-14 17:10:53 ----A---- C:\WINDOWS\system32\zlcomm.dll
2010-02-14 17:10:47 ----A---- C:\WINDOWS\system32\vswmi.dll
2010-02-14 17:10:45 ----D---- C:\WINDOWS\system32\ZoneLabs
2010-02-14 17:10:45 ----A---- C:\WINDOWS\system32\zpeng25.dll
2010-02-14 17:10:45 ----A---- C:\WINDOWS\system32\vsxml.dll
2010-02-14 17:10:45 ----A---- C:\WINDOWS\system32\vspubapi.dll
2010-02-14 17:10:45 ----A---- C:\WINDOWS\system32\vsmonapi.dll
2010-02-14 17:10:43 ----D---- C:\Programme\Zone Labs
2010-02-14 17:09:45 ----D---- C:\WINDOWS\Internet Logs
2010-02-14 17:09:44 ----A---- C:\WINDOWS\system32\vsutil.dll
2010-02-14 17:09:44 ----A---- C:\WINDOWS\system32\vsinit.dll
2010-02-14 17:09:44 ----A---- C:\WINDOWS\system32\vsdata.dll
2010-02-10 18:09:59 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$
2010-02-10 18:09:53 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$
2010-02-10 18:06:37 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$
2010-02-10 18:06:31 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$
2010-02-10 18:06:25 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$
2010-02-10 18:06:17 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$
2010-02-10 18:06:06 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$
2010-02-10 18:05:49 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$
2010-02-10 18:05:34 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$

======List of files/folders modified in the last 1 months======

2010-02-28 19:24:41 ----D---- C:\WINDOWS\Temp
2010-02-28 16:14:45 ----D---- C:\WINDOWS\Prefetch
2010-02-28 16:06:42 ----D---- C:\Programme\Mozilla Firefox
2010-02-28 10:24:06 ----D---- C:\WINDOWS\system32
2010-02-28 10:24:05 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-02-28 10:21:28 ----D---- C:\Dokumente und Einstellungen\Marion Kaiser\Anwendungsdaten\OpenOffice.org2
2010-02-28 10:20:00 ----D---- C:\Programme\PestPatrol
2010-02-28 10:19:33 ----A---- C:\WINDOWS\ModemLog_Creatix 2.0 AC'97 Modem.txt
2010-02-28 10:19:13 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-28 01:08:22 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-02-28 00:59:41 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2010-02-28 00:59:41 ----D---- C:\WINDOWS\system32\drivers
2010-02-27 22:03:19 ----D---- C:\WINDOWS
2010-02-27 22:01:51 ----HDC---- C:\WINDOWS\$NtUninstallKB896358$
2010-02-27 20:05:44 ----RD---- C:\Programme
2010-02-27 11:02:54 ----D---- C:\WINDOWS\system32\FxsTmp
2010-02-27 10:47:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-02-26 20:24:24 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2010-02-26 18:37:30 ----D---- C:\Programme\CCleaner
2010-02-24 12:59:38 ----SHD---- C:\WINDOWS\Installer
2010-02-24 12:59:38 ----HD---- C:\Programme\InstallShield Installation Information
2010-02-24 12:56:49 ----HD---- C:\WINDOWS\inf
2010-02-24 06:18:09 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-02-24 06:18:07 ----D---- C:\WINDOWS\ie8updates
2010-02-24 06:16:58 ----HD---- C:\WINDOWS\$hf_mig$
2010-02-21 20:16:18 ----A---- C:\WINDOWS\NeroDigital.ini
2010-02-20 18:15:07 ----D---- C:\WINDOWS\WinSxS
2010-02-15 13:47:36 ----D---- C:\Programme\Spybot - Search & Destroy
2010-02-14 20:08:56 ----D---- C:\WINDOWS\Debug
2010-02-13 07:38:00 ----D---- C:\WINDOWS\system32\config
2010-02-13 07:37:33 ----D---- C:\WINDOWS\system32\wbem
2010-02-13 07:37:32 ----D---- C:\WINDOWS\Registration
2010-02-13 07:35:38 ----D---- C:\WINDOWS\system32\Restore
2010-02-13 06:14:02 ----D---- C:\WINDOWS\network diagnostic

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD Athlon64-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2004-05-08 38912]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 SAVRKBootTasks;Boot Tasks Driver; \??\C:\WINDOWS\system32\SAVRKBootTasks.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2009-11-22 486280]
R1 wbsecdrv;wbsecdrv Protocol Driver; C:\WINDOWS\system32\DRIVERS\wbsecdrv.sys [2005-06-14 17792]
R2 atjsgt;atjsgt; C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2007-06-06 165504]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-10 56816]
R2 ISWKL;ZoneAlarm Toolbar ISWKL; \??\C:\Programme\CheckPoint\ZAForceField\ISWKL.sys []
R2 linsgt;linsgt; C:\WINDOWS\system32\DRIVERS\linsgt.sys [2007-06-06 16000]
R3 AgereSoftModem;Creatix 2.0 AC'97 Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2004-07-22 1268234]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-12-16 3842560]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-11-01 1392128]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-10-28 191936]
R3 ULI5261XP;ULi M526X Ethernet NT Driver; C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 28672]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 W33ND;W89C33 mPCI 802.11 Wireless LAN Adapter Driver; C:\WINDOWS\system32\DRIVERS\W33ND.SYS [2005-07-26 140064]
R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S3 3xHybrid;3xHybrid service; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-11-18 800512]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 MEMSWEEP2;MEMSWEEP2; \??\C:\WINDOWS\system32\3.tmp []
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 Nokia USB Generic;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2006-10-10 9216]
S3 Nokia USB Modem;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2006-10-10 12800]
S3 Nokia USB Phone Parent;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2006-10-10 138240]
S3 Nokia USB Port;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2006-10-10 12800]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usb2vcom;USB to Serial Bridge Controller; C:\WINDOWS\System32\Drivers\usb2vcom.sys [2005-09-02 28928]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys []
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AAV UpdateService;AAV UpdateService; C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-11-01 389120]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2006-02-09 266338]
R2 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2006-02-09 118880]
R2 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe [2006-02-09 1073152]
R2 EpsonBidirectionalService;EpsonBidirectionalService; C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe [2006-12-19 94208]
R2 FreeAgentGoNext Service;Seagate Service; C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe [2009-03-27 165160]
R2 IswSvc;ZoneAlarm Toolbar IswSvc; C:\Programme\CheckPoint\ZAForceField\IswSvc.exe [2009-10-14 476528]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2005-07-24 53248]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2006-02-09 167936]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2009-11-22 2384240]
R2 wbsecsvc;wbsecsvc; C:\WINDOWS\system32\wbsecsvc.exe [2005-04-30 245760]
R2 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
R3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2006-11-06 210432]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-12-04 182768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
__________________
Alt 01.03.2010, 14:49   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\3.tmp

drivers to delete:
MEMSWEEP2
jkxpflaj
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.03.2010, 16:01   #5
Tracy34
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Das ist das Logfile vom Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\3.tmp" not found!
Deletion of file "C:\WINDOWS\system32\3.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "MEMSWEEP2" deleted successfully.
Driver "jkxpflaj" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Nachdem ich das Logfile vom Avenger erstellt habe, habe ich überprüft ob die Löschung erfolgreich war.
Unter C:/WINDOWS/system32/drivers war wieder das file jkxpflaj.sys mit aktuellem Datum vorhanden.
Als ich versucht habe die Zeile zu kopieren hat AntiVir gemeldet das eben jener Rootkit gefunden wurde. Ich habe daraufhin die Auswahl in Quarantäne verschieben angeklickt und weg war er.

Ich wäre diese "Unding" gern endgültig los, gibt es noch etwas zu beachten?


Alt 01.03.2010, 16:35   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Ich hab mit dem Avenger den Treiber zu diesem Rootkit weggescripted ich hoffe damit haben wir das in den Griff bekommen. Mach aber bitte noch ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys

Alt 01.03.2010, 18:56   #7
Tracy34
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Hallo Arne,

hier kommt combofix.txt.

ComboFix 10-02-28.04 - **** 01.03.2010 17:56:26.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.895.413 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-1327885431-3977732203-2674795245-1003
c:\recycler\S-1-5-21-2528455266-4072653388-2426915185-1003
c:\recycler\S-1-5-21-302174309-1733991147-942865426-1003
c:\recycler\S-1-5-21-984265878-670251042-755676281-1003
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2010-02-01 bis 2010-03-01 ))))))))))))))))))))))))))))))
.

2010-02-26 19:37 . 2010-03-01 12:36 -------- d-----w- c:\programme\trend micro
2010-02-26 19:37 . 2010-02-26 19:47 -------- d-----w- C:\rsit
2010-02-26 17:55 . 2010-02-26 17:55 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2010-02-26 17:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-26 17:55 . 2010-02-26 17:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-26 17:55 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-26 17:55 . 2010-02-26 17:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-02-24 11:59 . 2010-02-24 11:59 -------- d-----w- c:\programme\Seagate
2010-02-24 11:59 . 2010-02-24 11:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Seagate
2010-02-24 11:57 . 2010-02-24 11:57 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Leadertech
2010-02-19 20:11 . 2009-06-18 11:55 18816 ------w- c:\windows\system32\SAVRKBootTasks.sys
2010-02-19 10:54 . 2010-02-19 10:54 -------- d-----w- c:\programme\Sophos
2010-02-14 16:11 . 2010-02-14 16:11 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\CheckPoint
2010-02-14 16:09 . 2010-03-01 17:00 -------- d-----w- c:\windows\Internet Logs
2010-02-13 06:37 . 2010-02-13 06:37 -------- d-----w- c:\windows\system32\wbem\Repository

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-01 16:46 . 2006-05-25 19:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-03-01 14:36 . 2004-08-04 12:00 85594 ----a-w- c:\windows\system32\perfc007.dat
2010-03-01 14:36 . 2004-08-04 12:00 460908 ----a-w- c:\windows\system32\perfh007.dat
2010-03-01 14:33 . 2006-10-06 22:46 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\OpenOffice.org2
2010-03-01 14:32 . 2010-02-15 12:47 1179235 ----a-w- c:\windows\Internet Logs\tvDebug.Zip
2010-03-01 14:32 . 2006-02-07 09:43 -------- d-----w- c:\programme\PestPatrol
2010-02-27 10:02 . 2006-03-08 19:38 6516 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\wklnhst.dat
2010-02-26 17:37 . 2008-08-27 17:57 -------- d-----w- c:\programme\CCleaner
2010-02-24 11:59 . 2006-01-27 20:31 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-02-15 12:47 . 2006-05-25 19:46 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-02-14 16:10 . 2010-02-14 16:10 -------- d-----w- c:\programme\CheckPoint
2010-02-14 16:10 . 2010-02-14 16:10 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-02-14 16:10 . 2010-02-14 16:10 -------- d-----w- c:\programme\Zone Labs
2010-01-13 19:32 . 2006-12-28 11:17 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Nokia
2010-01-02 13:32 . 2010-01-02 13:32 116 ----a-w- c:\windows\system32\fjhdyfhsn.bat
2010-01-02 10:17 . 2006-12-28 11:17 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\PC Suite
2010-01-02 09:58 . 2010-01-02 09:58 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Datalayer
2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2006-01-27 18:31 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-16 13:42 . 2009-12-25 18:52 872960 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-12-16 13:42 . 2009-12-25 18:52 43008 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-12-16 13:42 . 2009-12-25 18:52 340480 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-12-16 13:41 . 2009-12-25 18:52 346624 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-12-14 07:08 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-10 06:07 . 2009-12-07 12:20 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-09 10:06 . 2004-08-04 12:00 2191488 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:06 . 2004-08-04 00:50 2068352 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2006-01-28 08:53 . 2006-01-28 08:53 8 --sh--r- c:\windows\system32\363CCEFC6B.sys
2006-01-28 08:53 . 2006-01-28 08:53 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\progra~1\MESSEN~1\Msmsgs.exe" [2005-08-31 1658592]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-28 68856]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-12-14 577536]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 88361]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"AntivirusRegistration"="c:\programme\CA\Etrust Antivirus\Register.exe" [2005-08-22 258048]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-28 761945]
"PestPatrolRegistration"="c:\programme\PestPatrol\Register.exe" [2005-08-22 180224]
"PPMemCheck"="c:\progra~1\PESTPA~1\PPMemCheck.exe" [2004-04-02 148480]
"CookiePatrol"="c:\progra~1\PESTPA~1\CookiePatrol.exe" [2005-01-10 73728]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2006-02-09 143360]
"InstantOn"="c:\programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-03-25 93640]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-27 180269]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-08 222208]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"ContentTransferWMDetector.exe"="c:\programme\Sony\Content Transfer\ContentTransferWMDetector.exe" [2008-07-11 423200]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-01-12 669520]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2009-11-22 1037192]
"ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2009-10-14 730480]
"MaxMenuMgr"="c:\programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2009-03-27 181544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]

c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips GoGear Spark Gere-Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Philips GoGear Spark Gere-Manager.lnk
backup=c:\windows\pss\Philips GoGear Spark Gere-Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\MEDION\\medionmusic_manager_gold\\MusicManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Dokumente und Einstellungen\\****\\Eigene Dateien\\Spiel_DL\\volley.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"c:\\Programme\\EpsonNet\\EpsonNet Setup\\tool09\\ENEasyApp.exe"=
"c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"=

R1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [19.02.2010 21:11 18816]
R1 wbsecdrv;wbsecdrv Protocol Driver;c:\windows\system32\drivers\wbsecdrv.sys [27.01.2006 22:46 17792]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.12.2009 13:20 108289]
R2 atjsgt;atjsgt;c:\windows\system32\drivers\atjsgt.sys [06.06.2007 19:17 165504]
R2 FreeAgentGoNext Service;Seagate Service;c:\programme\Seagate\SeagateManager\Sync\FreeAgentService.exe [27.03.2009 15:54 165160]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [14.10.2009 14:30 25208]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [14.10.2009 14:30 476528]
R2 linsgt;linsgt;c:\windows\system32\drivers\linsgt.sys [06.06.2007 19:17 16000]
R2 wbsecsvc;wbsecsvc;c:\windows\system32\wbsecsvc.exe [27.01.2006 22:46 245760]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [27.01.2006 22:45 28672]
R3 W33ND;W89C33 mPCI 802.11 Wireless LAN Adapter Driver;c:\windows\system32\drivers\W33ND.SYS [27.01.2006 22:46 140064]
S2 AAV UpdateService;AAV UpdateService;c:\programme\Gemeinsame Dateien\AAV\aavus.exe [04.10.2007 14:32 122880]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xhybrid.sys [31.01.2006 13:18 800512]
S3 usb2vcom;USB to Serial Bridge Controller;c:\windows\system32\drivers\usb2vcom.sys [26.05.2006 13:41 28928]
.
Inhalt des "geplante Tasks" Ordners

2010-02-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]

2010-02-23 c:\windows\Tasks\Epson Printer Software Downloader.job
- c:\programme\EPSON\EPAPDL\E_SAPDL2.EXE [2009-01-23 13:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
Handler: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\Haufe\HaufeReader\HRInstmon.dll
FF - ProfilePath - c:\dokumente und einstellungen\Marion Kaiser\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: network.proxy.type - 4
FF - component: c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\vugeaov8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerMozillaPlugin.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-PestPatrol Control Center - C-\PROGRA~1\PESTPA~1\PPControl.exe
MSConfigStartUp-BearShare - c:\programme\BearShare\BearShare.exe
AddRemove-{FAF88B432344413595BB2DED98385684} - c:\programme\DivX\DivXUserGuideUninstall



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-01 18:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(936)
c:\windows\system32\Ati2evxx.dll
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'lsass.exe'(992)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
Zeit der Fertigstellung: 2010-03-01 18:12:49
ComboFix-quarantined-files.txt 2010-03-01 17:12

Vor Suchlauf: 12 Verzeichnis(se), 52.501.377.024 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 52.492.103.680 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - E207850C7C7F22D3107B97E9DA26C8FC


Ich hoffe, beim Deaktivieren aller "Wächter" hat sich nichts Neues eingeschlichen, den ZoneAlarm konnte ich nicht deaktivieren und der hat dann immer mal nachgefragt ob der Zugriff erlaubt werden soll.

Haben wir den Rootkit eleminiert? ich bin gespannt auf Deine Antwort.
Auf jeden Fall möchte ich mich ganz herzlich für Deine Unterstützung bedanken.
Ein kompetentes Forum, meine Spende ist Euch sicher.

Herzliche Grüße

Alt 01.03.2010, 21:16   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Zitat:
c:\windows\system32\fjhdyfhsn.bat
Nur diese Stapeldatei (Batch) ist mir aufgefallen. Mach mal ein Rechtsklick => Bearbeiten auf diese Datei und poste den Inhalt hier. Danach die Datei löschen.

Zitat:
den ZoneAlarm konnte ich nicht deaktivieren und der hat dann immer mal nachgefragt ob der Zugriff erlaubt werden soll.
Vergiss ZoneAlarm, das ist in meinen Augen Spielzeug hoch drei und den Rechner sicherst Du damit wenig bis garnicht ab. Am besten deinstallieren und die Windows-Firewall aktivieren.
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Zitat:
Haben wir den Rootkit eleminiert?
Scheint so - hat AntiVir nochmal wegen der ursprünglichen Rootkitdatei gemeckert?
Zur Kontrolle bitte am besten nochmal neue Logs mit GMER und Malwarebytes machen. Denk dran, Malwarebytes wieder zu aktualisieren, dass muss man manuell vor jedem Durchgang machen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.03.2010, 22:10   #9
Tracy34
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Hallo Arne,

hier der Text aus der bat.Datei, die übrigens wie der Rootkit vom 02.01.10 stammt.

@echo off
:try
@del /F /Q "C:\WINDOWS\system32\svchost.exe"
if exist "C:\WINDOWS\system32\svchost.exe" goto try


Die Kontrolle mit GMER und Malwarebytes muss ich morgen durchführen.
Danke für den Tipp mit ZoneAlarm.

Eine Frage noch, könntet Ihr mir die Bankverbindung des Spendenkontos mailen, ich verfüge nicht über PayPal.

Vielen Dank und liebe Grüße

Alt 02.03.2010, 18:50   #10
Tracy34
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Hallo Arne,

ich möchte dich bitten nochmal die log_files und meine Antwort von gestern anzuschauen, Malwarebytes zeigt 3 Probleme an, oder sind das die Quarantänedateien?

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-02 15:38:04
Windows 5.1.2600 Service Pack 3
Running: rlzw7v7g.exe; Driver: C:\DOKUME~1\****~1\LOKALE~1\Temp\kgtdipog.sys

---- System - GMER 1.0.15 ----

SSDT F7AA9FC6 ZwCreateKey
SSDT F7AA9FBC ZwCreateThread
SSDT F7AA9FCB ZwDeleteKey
SSDT F7AA9FD5 ZwDeleteValueKey
SSDT F7AA9FDA ZwLoadKey
SSDT F7AA9FA8 ZwOpenProcess
SSDT F7AA9FAD ZwOpenThread
SSDT F7AA9FE4 ZwReplaceKey
SSDT F7AA9FDF ZwRestoreKey
SSDT F7AA9FD0 ZwSetValueKey
SSDT F7AA9FB7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\atjsgt.sys section is writeable [0xEBD79300, 0x220A0, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\linsgt.sys section is writeable [0xEBD3D300, 0x1B7E, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3811
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.03.2010 17:43:42
mbam-log-2010-03-02 (17-43-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 255452
Laufzeit: 52 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370802.sys (HackTool.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370782.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C9E5D93C-E56F-4208-AF58-F84EDB8251B1}\RP299\A0370791.exe (Trojan.Banker) -> Quarantined and deleted successfully.

Ich bin .

Alt 02.03.2010, 20:39   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Zitat:
.text C:\WINDOWS\system32\DRIVERS\atjsgt.sys
.text C:\WINDOWS\system32\DRIVERS\linsgt.sys
Hier musste ich genauer hinschauen, aber die gehören wahrscheinlich zu einem Kopierschutztreiber (Tages Driver, kann man aber entfernen)

Die drei MBAM-Funde sind alle in SYSTEM VOLUME INFORMATION - Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
Nach einem Reboot könntest Du die SWH reaktivieren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.03.2010, 20:39   #12
Tracy34
 
Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Standard

Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


Hallo Arne,

Du hast es geschafft, ich könnte Dich , sofern man das hier im Forum mitteilen darf.
Tolle Arbeit, , ich bleibe Euch auf jeden Fall treu, hoffentlich nur für News und Tipps und nicht für diese Sch..viren.

Tschau

Antwort

Themen zu Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys
0xc0000001, anbieter, anti-malware, anweisung, bitte um hilfe, c:\windows, ccleaner, dateien, explorer, failed, folge, found, gesperrt, information, malwarebytes, nicht mehr, not, process, registrierungsschlüssel, rootkit, rootkits, scan, service, system volume information, trojaner, version, _restore


« C:\WINDOWS\system32\Tools\Restart.exe enthält SPR/Destart.A | Helft mir bitte :( »


Ähnliche Themen: Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys


  1. Avira meldet TR/Rootkit.Gen in C:windows/system32/drivers....was ist zu tun?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2014 (22)
  2. Trojaner/Rootkit TR/Agent.37888.248 in C:\WINDOWS\system32\drivers\a127b2c0fb888938.sys
    Log-Analyse und Auswertung - 05.07.2014 (15)
  3. TR/Rootkit.Gen2'-'C:\WINDOWS\system32\drivers\sptd.sys'
    Plagegeister aller Art und deren Bekämpfung - 01.02.2012 (1)
  4. windows\system32\drivers\sptd.sys - Rootkit Modification
    Plagegeister aller Art und deren Bekämpfung - 05.06.2011 (18)
  5. Rootkit C:\windows\system32\drivers\volmgr.sys
    Plagegeister aller Art und deren Bekämpfung - 01.02.2011 (8)
  6. TR/Rootkit.Gen in C:\Windows\System32\drivers\ghldywj.sys
    Plagegeister aller Art und deren Bekämpfung - 25.12.2010 (9)
  7. Rootkit.Bubnix in c:\windows\system32\drivers\qmjlmyja.sys
    Plagegeister aller Art und deren Bekämpfung - 20.08.2010 (23)
  8. Rootkit Agent in C:\WINDOWS\system32\drivers\lpvmtsvd.sys
    Plagegeister aller Art und deren Bekämpfung - 19.08.2010 (13)
  9. Rootkit in C:\Windows\system32\drivers\afkw4fu9.sys ?
    Log-Analyse und Auswertung - 08.08.2010 (4)
  10. Rootkit Bubnix.au in c:\windows\system32\drivers\hljrifmj.sys
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (10)
  11. TR/Rootkit.Gen in C:\WINDOWS\system32\drivers\herbh.sys
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (16)
  12. TR/Rootkit.Gen in C:\Windows\System32\drivers\ezokdc.sys
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (6)
  13. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  14. Rootkit RKIT/Bubnix.S in C:\Windows\System32\drivers\...sys gefunden
    Log-Analyse und Auswertung - 20.05.2010 (3)
  15. TR/Rootkit.gen, TR/BHO.agcg in C:\Windows\system32\drivers\zaohb.sys
    Plagegeister aller Art und deren Bekämpfung - 13.05.2010 (3)
  16. Was tun? Virus Rootkit C:\Windows\System32\drivers\hsntoaox.sys
    Plagegeister aller Art und deren Bekämpfung - 23.04.2010 (12)
  17. C:\WINDOWS\system32\drivers\**; befürchte Rootkit
    Plagegeister aller Art und deren Bekämpfung - 23.04.2010 (18)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys - Ich versuche den Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys zu entfernen. Habe es bereits nach Anweisung CCleaner, Malwarebytes und Avenger versucht. Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: - Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys...
Archiv
Du betrachtest: Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129