| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Worm_downad.ad ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.04.2010, 10:37
| #31 |
 |  Worm_downad.ad ? Kommt leider nicht in Frage der Aufwand ist zu groß und Zeit in der nicht Produziert wird zu klein :-( sonst keine Idee? Wenn auf den einzelnen Rechner von den Tools nichts gefunden wird kann so ein Scanner das auch über Netz erkennen! Vielleicht haben wir die Quelle noch nicht ausfindig machen können! Gruß |
|
26.04.2010, 10:54
| #32 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Worm_downad.ad ? Trotzdem müsstest Du jeden Rechner analysieren. Rechne mal nach ob das wirklich vom Aufwand weniger ist, als ein Master-Image zu erstellen und das auf allen anderen Rechnern zu verteilen
__________________ Außerdem hast Du nach der Bereinigung keine Garantie auf saubere Systeme.
__________________ |
|
26.04.2010, 11:01
| #33 |
| | Worm_downad.ad ? Das stimmt aber alle Systeme sind nicht gleich! Und nach dem Image müssten noch Anpassungen an jedes System vorgenommen werden die auch einen erheblichen MEhraufwand darstellen! Klar könnte man das nach und nach machen aber zur Zeit versuche ich noch die andere Variante!
__________________Also wie soll ich bei jedem Rechner vorgehen? Gruß |
|
26.04.2010, 11:07
| #34 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ? Mir fällt gerade auf, dass ich noch kein einziges Malwarebytes-Logfile gesehen habe. Poste bitte mal alle von diesem einen Client-Rechner. Mach auch mal bitte einen neuen Durchgang auf dem Client mit malwarebytes, aktualisiere die Signaturen und machen einen Vollscan.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
27.04.2010, 08:19
| #35 |
| | Worm_downad.ad ? Hier das Log von Maleswarebytes: Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 4006 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 27.04.2010 02:00:47 mbam-log-2010-04-27 (02-00-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|H:\|I:\|J:\|K:\|M:\|V:\|W:\|X:\|Y:\|) Durchsuchte Objekte: 854124 Laufzeit: 13 Stunde(n), 45 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
27.04.2010, 08:32
| #36 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ? Hm, also wenn auf dem Client die gleiche Virenwarnung immer noch kommt (auch nach Löschen durch den Virenscanner) aber im OSAM Log nichts mehr zu sehen ist, haben wir IMHO nur noch mit ner Live-CD eine Chance, da nicht das infizierte OS gebootet wird: Systemscan mit OTLPE
__________________ --> Worm_downad.ad ? |
|
27.04.2010, 12:20
| #37 |
| | Worm_downad.ad ? Hallo Cosinus, habe noch mal ein Scan mit f-secure blacklight gemacht Code:
ATTFilter 04/27/10 10:28:17 [Info]: BlackLight Engine 1.0.67 initialized
04/27/10 10:28:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/27/10 10:28:17 [Note]: 7019 4
04/27/10 10:28:17 [Note]: 7005 0
04/27/10 10:28:31 [Note]: 7006 0
04/27/10 10:28:31 [Note]: 7011 3980
04/27/10 10:28:31 [Note]: 7026 0
04/27/10 10:28:31 [Note]: 7026 0
04/27/10 10:28:35 [Note]: FSRAW library version 1.7.1024
04/27/10 10:33:32 [Note]: 2000 1012
04/27/10 10:33:32 [Note]: 2000 1012
04/27/10 10:33:32 [Note]: 2000 1012
04/27/10 11:36:44 [Note]: 7007 0
Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-27 12:48:12
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pfryqaoc.sys
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xB9B16F80]
.text C:\WINDOWS\system32\drivers\ACEDRV07.sys section is writeable [0xA92D3000, 0x328BA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV07.sys entry point in ".pklstb" section [0xA9317000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV07.sys unknown last section [0xA9333000, 0x8E, 0x42000040]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[1212] ntdll.dll!NtQueryInformationProcess 7C91D7FE 5 Bytes JMP 01A19DC2
.text C:\WINDOWS\System32\svchost.exe[1212] NETAPI32.dll!NetpwPathCanonicalize 597DA101 5 Bytes JMP 01A19D62
.text C:\WINDOWS\system32\svchost.exe[1320] ntdll.dll!NtQueryInformationProcess 7C91D7FE 5 Bytes JMP 00739DC2
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \FileSystem\Fastfat \Fat TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] tgtfckks <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@DisplayName Config Universal
Reg HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\tgtfckks\Parameters@ServiceDll C:\WINDOWS\system32\dlzlnti.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@Class 0x8C 0x87 0x5C 0x85 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@Class 0xEF 0xFC 0xDA 0x4C ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@Class 0x11 0x8E 0xB4 0xC6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@Class 0x06 0xC0 0xA7 0x84 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@Class 0x0D 0xD8 0xD0 0xDC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@Class 0xE1 0x62 0x26 0x42 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@Class 0x32 0xD0 0x64 0x76 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@Class 0x67 0xCF 0x1B 0x7A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@Class 0x85 0xC4 0x93 0x0E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@Class 0x7F 0xEC 0x7B 0x87 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@Class 0x95 0xA6 0x39 0xC9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@Class 0x43 0xB9 0x8E 0x70 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@Class 0x71 0xCE 0x04 0x64 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@Class 0x10 0xBB 0xE2 0x52 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit@FindFlags 14
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
º º
hjtscanlist v2.0
º º
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
Microsoft Windows XP [Version 5.1.2600]
C:
27.04.2010 13:05 C:\WINDOWS --------- 0
27.04.2010 13:05 C:\RECYCLER --------- 0
27.04.2010 13:00 C:\Temp --------- 0
27.04.2010 13:00 C:\Dokumente und Einstellungen --------- 0
C:\pagefile.sys ---------
27.04.2010 12:55 C:\Config.Msi --------- 0
27.04.2010 12:53 C:\System Volume Information --------- 0
27.04.2010 11:38 C:\Programme --------- 0
23.04.2010 17:00 C:\ToadDebug.txt --------- 34
22.04.2010 16:33 C:\Win32.Worm.Downladup.Gen.log --------- 3046
22.04.2010 14:38 C:\Cofi --------- 0
22.04.2010 14:38 C:\ComboFix.txt --------- 18669
22.04.2010 14:38 C:\Qoobox --------- 0
25.02.2009 12:25 C:\NWC --------- 0
16.10.2008 09:52 C:\setup.log --------- 164
13.03.2008 14:57 C:\mb.err --------- 246
10.05.2007 10:59 C:\DWGRemoval.iss --------- 505
08.05.2007 15:22 C:\DWGInstall.iss --------- 630
07.03.2007 13:32 C:\MSOCache --------- 0
06.02.2007 10:49 C:\vai --------- 0
14.09.2006 10:55 C:\oracle --------- 0
27.04.2006 11:31 C:\Inetpub --------- 0
27.04.2006 10:32 C:\FilterLog.log --------- 80
12.01.2006 16:07 C:\dell --------- 0
12.01.2006 15:53 C:\i386 --------- 0
12.01.2006 14:50 C:\INFCACHE.1 --------- 4128
11.01.2006 14:46 C:\boot.ini --------- 211
29.11.2005 06:04 C:\dell.sdr --------- 3636
13.08.2004 14:54 C:\MSDOS.SYS --------- 0
13.08.2004 14:54 C:\IO.SYS --------- 0
13.08.2004 14:54 C:\CONFIG.SYS --------- 0
13.08.2004 14:54 C:\AUTOEXEC.BAT --------- 0
04.08.2004 16:00 C:\NTDETECT.COM --------- 47564
04.08.2004 16:00 C:\ntldr --------- 251184
04.08.2004 16:00 C:\bootfont.bin --------- 4952
----------------------------------------
C:\WINDOWS
27.04.2010 13:00 C:\WINDOWS\wiadebug.log --------- 159
27.04.2010 13:00 C:\WINDOWS\wiaservc.log --------- 50
27.04.2010 13:00 C:\WINDOWS\bootstat.dat --------- 2048
27.04.2010 12:59 C:\WINDOWS\SchedLgU.Txt --------- 32480
22.04.2010 14:37 C:\WINDOWS\system.ini --------- 227
13.04.2010 07:14 C:\WINDOWS\NetScan.ini --------- 339
12.03.2010 18:02 C:\WINDOWS\PEV.exe --------- 261632
25.10.2009 06:11 C:\WINDOWS\MBR.exe --------- 77312
20.04.2009 12:56 C:\WINDOWS\NIRCMD.exe --------- 31232
23.02.2009 11:17 C:\WINDOWS\NeroDigital.ini --------- 69
13.02.2009 12:24 C:\WINDOWS\ODBC.INI --------- 1892
27.01.2009 09:12 C:\WINDOWS\pdf2word.INI --------- 311
27.01.2009 08:56 C:\WINDOWS\PDF2HTML.INI --------- 105
26.11.2008 11:51 C:\WINDOWS\CD_Start.INI --------- 32
29.04.2008 09:46 C:\WINDOWS\cLines.INI --------- 0
20.03.2008 09:15 C:\WINDOWS\WCOSOBA.INI --------- 143
02.08.2007 10:29 C:\WINDOWS\ODBCINST.INI --------- 4346
02.08.2007 10:28 C:\WINDOWS\Setup1.exe --------- 249856
02.08.2007 10:28 C:\WINDOWS\ST6UNST.EXE --------- 73216
06.06.2007 11:40 C:\WINDOWS\dwg2jpg.INI --------- 268
06.06.2007 08:13 C:\WINDOWS\win.ini --------- 640
21.05.2007 12:35 C:\WINDOWS\cadkasdeinst01.exe --------- 73216
11.05.2007 10:40 C:\WINDOWS\eDrawingOfficeAutomator.INI --------- 0
26.04.2007 14:55 C:\WINDOWS\Iedit_.INI --------- 30
09.01.2007 12:07 C:\WINDOWS\hpbafd.ini --------- 305
07.10.2006 18:43 C:\WINDOWS\x2.64.exe --------- 502784
23.05.2006 14:35 C:\WINDOWS\WMSysPr9.prx --------- 316640
09.05.2006 09:35 C:\WINDOWS\Clony2.ini --------- 32
27.04.2006 12:38 C:\WINDOWS\vbaddin.ini --------- 63
27.04.2006 11:33 C:\WINDOWS\frontpg.ini --------- 0
20.04.2006 14:22 C:\WINDOWS\multiview.ini --------- 88
12.04.2006 10:47 C:\WINDOWS\meta4.exe --------- 217073
05.04.2006 09:09 C:\WINDOWS\MOTA113.exe --------- 66560
06.02.2006 13:12 C:\WINDOWS\mgxoschk.ini --------- 3237
29.11.2005 06:20 C:\WINDOWS\smscfg.ini --------- 61
29.11.2005 06:03 C:\WINDOWS\setpwrcg.exe --------- 49152
23.08.2004 02:00 C:\WINDOWS\instcli.dex --------- 135168
13.08.2004 15:30 C:\WINDOWS\setupapi.del --------- 1017421
13.08.2004 15:05 C:\WINDOWS\orun32.isu --------- 210415
13.08.2004 15:05 C:\WINDOWS\orun32.ini --------- 849
13.08.2004 14:59 C:\WINDOWS\setupact.del --------- 220319
13.08.2004 14:59 C:\WINDOWS\setuplog.del --------- 746067
13.08.2004 14:54 C:\WINDOWS\control.ini --------- 0
13.08.2004 14:53 C:\WINDOWS\WindowsShell.Manifest --------- 749
13.08.2004 14:52 C:\WINDOWS\vb.ini --------- 36
13.08.2004 14:52 C:\WINDOWS\T30DebugLogFile.txt --------- 0
13.08.2004 14:49 C:\WINDOWS\Sti_Trace.log --------- 0
13.08.2004 14:46 C:\WINDOWS\setuperr.del --------- 0
04.08.2004 16:00 C:\WINDOWS\regedit.exe --------- 153600
04.08.2004 16:00 C:\WINDOWS\Granit.bmp --------- 26582
04.08.2004 16:00 C:\WINDOWS\Santa Fe-Stuck.bmp --------- 65832
04.08.2004 16:00 C:\WINDOWS\Feder.bmp --------- 16730
04.08.2004 16:00 C:\WINDOWS\Präriewind.bmp --------- 65954
04.08.2004 16:00 C:\WINDOWS\Seifenblase.bmp --------- 65978
04.08.2004 16:00 C:\WINDOWS\wmprfDEU.prx --------- 34818
04.08.2004 16:00 C:\WINDOWS\explorer.scf --------- 80
04.08.2004 16:00 C:\WINDOWS\hh.exe --------- 10752
04.08.2004 16:00 C:\WINDOWS\NOTEPAD.EXE --------- 70144
04.08.2004 16:00 C:\WINDOWS\winhelp.exe --------- 257568
04.08.2004 16:00 C:\WINDOWS\winnt256.bmp --------- 48680
04.08.2004 16:00 C:\WINDOWS\winnt.bmp --------- 48680
04.08.2004 16:00 C:\WINDOWS\explorer.exe --------- 1035264
04.08.2004 16:00 C:\WINDOWS\msdfmap.ini --------- 1405
04.08.2004 16:00 C:\WINDOWS\Fächer.bmp --------- 26680
04.08.2004 16:00 C:\WINDOWS\desktop.ini --------- 2
04.08.2004 16:00 C:\WINDOWS\Zapotek.bmp --------- 9522
04.08.2004 16:00 C:\WINDOWS\winhlp32.exe --------- 288768
04.08.2004 16:00 C:\WINDOWS\clock.avi --------- 82944
04.08.2004 16:00 C:\WINDOWS\Rhododendron.bmp --------- 17362
04.08.2004 16:00 C:\WINDOWS\TASKMAN.EXE --------- 15872
04.08.2004 16:00 C:\WINDOWS\twain.dll --------- 94800
04.08.2004 16:00 C:\WINDOWS\twain_32.dll --------- 50688
04.08.2004 16:00 C:\WINDOWS\twunk_16.exe --------- 49680
04.08.2004 16:00 C:\WINDOWS\twunk_32.exe --------- 25600
04.08.2004 16:00 C:\WINDOWS\Blaue Spitzen 16.bmp --------- 1272
04.08.2004 16:00 C:\WINDOWS\vmmreg32.dll --------- 18944
04.08.2004 16:00 C:\WINDOWS\Kaffeetasse.bmp --------- 17062
04.08.2004 16:00 C:\WINDOWS\Angler.bmp --------- 17336
04.08.2004 16:00 C:\WINDOWS\_default.pif --------- 707
18.02.2004 11:53 C:\WINDOWS\STable.xml --------- 54633
22.12.2003 17:59 C:\WINDOWS\GeoCodec.dll --------- 405504
22.12.2003 17:56 C:\WINDOWS\GeoCodecLib.dll --------- 176128
10.06.2002 17:26 C:\WINDOWS\Dell.bmp --------- 787512
04.05.2001 12:05 C:\WINDOWS\mpg4c32.dll --------- 413760
31.08.2000 08:00 C:\WINDOWS\SWXCACLS.exe --------- 212480
31.08.2000 08:00 C:\WINDOWS\zip.exe --------- 68096
31.08.2000 08:00 C:\WINDOWS\SWSC.exe --------- 136704
31.08.2000 08:00 C:\WINDOWS\grep.exe --------- 80412
31.08.2000 08:00 C:\WINDOWS\sed.exe --------- 98816
31.08.2000 08:00 C:\WINDOWS\SWREG.exe --------- 161792
07.04.2000 13:13 C:\WINDOWS\W_ZIPPER.EXE --------- 131072
23.03.1999 08:12 C:\WINDOWS\unin0407.exe --------- 304128
17.11.1998 11:44 C:\WINDOWS\IsUn0407.exe --------- 328704
29.10.1998 16:45 C:\WINDOWS\IsUninst.exe --------- 306688
01.04.1998 15:11 C:\WINDOWS\uninst.exe --------- 299520
----------------------------------------
C:\WINDOWS\System
04.08.2004 16:00 C:\WINDOWS\System\AVICAP.DLL --------- 70368
04.08.2004 16:00 C:\WINDOWS\System\AVIFILE.DLL --------- 109504
04.08.2004 16:00 C:\WINDOWS\System\COMMDLG.DLL --------- 33744
04.08.2004 16:00 C:\WINDOWS\System\WFWNET.DRV --------- 13600
04.08.2004 16:00 C:\WINDOWS\System\KEYBOARD.DRV --------- 2000
04.08.2004 16:00 C:\WINDOWS\System\LZEXPAND.DLL --------- 9936
04.08.2004 16:00 C:\WINDOWS\System\MCIAVI.DRV --------- 73760
04.08.2004 16:00 C:\WINDOWS\System\MCISEQ.DRV --------- 25296
04.08.2004 16:00 C:\WINDOWS\System\MCIWAVE.DRV --------- 28160
04.08.2004 16:00 C:\WINDOWS\System\MMSYSTEM.DLL --------- 69632
04.08.2004 16:00 C:\WINDOWS\System\MMTASK.TSK --------- 1152
04.08.2004 16:00 C:\WINDOWS\System\MOUSE.DRV --------- 2032
04.08.2004 16:00 C:\WINDOWS\System\MSVIDEO.DLL --------- 127104
04.08.2004 16:00 C:\WINDOWS\System\OLECLI.DLL --------- 82944
04.08.2004 16:00 C:\WINDOWS\System\OLESVR.DLL --------- 24064
04.08.2004 16:00 C:\WINDOWS\System\setup.inf --------- 59167
04.08.2004 16:00 C:\WINDOWS\System\SHELL.DLL --------- 5120
04.08.2004 16:00 C:\WINDOWS\System\SOUND.DRV --------- 1744
04.08.2004 16:00 C:\WINDOWS\System\stdole.tlb --------- 5532
04.08.2004 16:00 C:\WINDOWS\System\SYSTEM.DRV --------- 3360
04.08.2004 16:00 C:\WINDOWS\System\TAPI.DLL --------- 19200
04.08.2004 16:00 C:\WINDOWS\System\TIMER.DRV --------- 4048
04.08.2004 16:00 C:\WINDOWS\System\VER.DLL --------- 9200
04.08.2004 16:00 C:\WINDOWS\System\VGA.DRV --------- 2176
04.08.2004 16:00 C:\WINDOWS\System\WINSPOOL.DRV --------- 146944
19.09.2001 19:47 C:\WINDOWS\System\crlds3d.dll --------- 765952
----------------------------------------
C:\WINDOWS\System32
27.04.2010 13:04 C:\WINDOWS\system32\inetsrv --------- 0
27.04.2010 12:53 C:\WINDOWS\system32\Restore --------- 0
27.04.2010 10:27 C:\WINDOWS\system32\CatRoot2 --------- 0
23.04.2010 11:04 C:\WINDOWS\system32\drivers --------- 0
20.04.2010 08:55 C:\WINDOWS\system32\dllcache --------- 0
20.04.2010 08:53 C:\WINDOWS\system32\de-DE --------- 0
20.04.2010 08:48 C:\WINDOWS\system32\perfc009.dat --------- 107610
20.04.2010 08:48 C:\WINDOWS\system32\perfh009.dat --------- 521794
20.04.2010 08:48 C:\WINDOWS\system32\perfh007.dat --------- 562956
20.04.2010 08:48 C:\WINDOWS\system32\perfc007.dat --------- 130788
20.04.2010 08:48 C:\WINDOWS\system32\PerfStringBackup.INI --------- 1342744
20.04.2010 08:44 C:\WINDOWS\system32\FNTCACHE.DAT --------- 274168
20.04.2010 08:43 C:\WINDOWS\system32\Setup --------- 0
20.04.2010 08:43 C:\WINDOWS\system32\wbem --------- 0
20.04.2010 08:40 C:\WINDOWS\system32\TZLog.log --------- 4230
20.04.2010 08:23 C:\WINDOWS\system32\KB905474 --------- 0
20.04.2010 07:58 C:\WINDOWS\system32\wpa.dbl --------- 2206
20.04.2010 07:58 C:\WINDOWS\system32\PreInstall --------- 0
20.04.2010 07:36 C:\WINDOWS\system32\SoftwareDistribution --------- 0
19.04.2010 10:07 C:\WINDOWS\system32\CatRoot --------- 0
16.04.2010 11:53 C:\WINDOWS\system32\log --------- 0
06.04.2010 10:52 C:\WINDOWS\system32\MRT.exe --------- 31971272
10.03.2010 07:18 C:\WINDOWS\system32\shdocvw.dll --------- 1506304
10.03.2010 07:18 C:\WINDOWS\system32\browseui.dll --------- 1023488
26.02.2010 08:10 C:\WINDOWS\system32\shlwapi.dll --------- 474624
26.02.2010 08:10 C:\WINDOWS\system32\danim.dll --------- 1056256
26.02.2010 08:10 C:\WINDOWS\system32\extmgr.dll --------- 55808
26.02.2010 08:10 C:\WINDOWS\system32\cdfview.dll --------- 152064
26.02.2010 02:58 C:\WINDOWS\system32\xpsp3res.dll --------- 375808
25.02.2010 11:45 C:\WINDOWS\system32\ieframe.dll --------- 11070976
25.02.2010 08:15 C:\WINDOWS\system32\wininet.dll --------- 916480
25.02.2010 08:15 C:\WINDOWS\system32\urlmon.dll --------- 1209344
25.02.2010 08:15 C:\WINDOWS\system32\occache.dll --------- 206848
25.02.2010 08:15 C:\WINDOWS\system32\mstime.dll --------- 611840
25.02.2010 08:15 C:\WINDOWS\system32\mshtml.dll --------- 5944832
25.02.2010 08:15 C:\WINDOWS\system32\msfeedsbs.dll --------- 55296
25.02.2010 08:15 C:\WINDOWS\system32\msfeeds.dll --------- 594432
25.02.2010 08:15 C:\WINDOWS\system32\jsproxy.dll --------- 25600
25.02.2010 08:15 C:\WINDOWS\system32\inetcpl.cpl --------- 1469440
25.02.2010 08:15 C:\WINDOWS\system32\iertutil.dll --------- 1985536
25.02.2010 08:14 C:\WINDOWS\system32\iepeers.dll --------- 184320
25.02.2010 08:14 C:\WINDOWS\system32\iedkcs32.dll --------- 387584
24.02.2010 11:53 C:\WINDOWS\system32\ie4uinit.exe --------- 173056
16.02.2010 21:30 C:\WINDOWS\system32\ntoskrnl.exe --------- 2139648
16.02.2010 21:30 C:\WINDOWS\system32\ntkrnlpa.exe --------- 2019328
16.02.2010 07:27 C:\WINDOWS\system32\wmp.dll --------- 4734976
12.02.2010 12:03 C:\WINDOWS\system32\browserchoice.exe --------- 293376
12.02.2010 06:45 C:\WINDOWS\system32\6to4svc.dll --------- 100864
29.01.2010 16:43 C:\WINDOWS\system32\l3codecx.ax --------- 143422
29.01.2010 16:43 C:\WINDOWS\system32\l3codeca.acm --------- 307260
23.01.2010 10:11 C:\WINDOWS\system32\tzchange.exe --------- 46080
13.01.2010 16:08 C:\WINDOWS\system32\cabview.dll --------- 86016
24.12.2009 09:05 C:\WINDOWS\system32\wintrust.dll --------- 177664
17.12.2009 09:57 C:\WINDOWS\system32\mspaint.exe --------- 346624
14.12.2009 09:35 C:\WINDOWS\system32\csrsrv.dll --------- 33280
27.11.2009 19:33 C:\WINDOWS\system32\msyuv.dll --------- 17920
27.11.2009 19:33 C:\WINDOWS\system32\quartz.dll --------- 1296896
27.11.2009 18:37 C:\WINDOWS\system32\msrle32.dll --------- 11264
27.11.2009 18:37 C:\WINDOWS\system32\msvidc32.dll --------- 28672
27.11.2009 18:37 C:\WINDOWS\system32\avifil32.dll --------- 85504
27.11.2009 18:37 C:\WINDOWS\system32\iyuv_32.dll --------- 48128
27.11.2009 18:37 C:\WINDOWS\system32\tsbyuv.dll --------- 8704
15.10.2009 22:50 C:\WINDOWS\system32\t2embed.dll --------- 119808
15.10.2009 19:20 C:\WINDOWS\system32\fontsub.dll --------- 82432
13.10.2009 12:51 C:\WINDOWS\system32\oakley.dll --------- 267776
12.10.2009 15:51 C:\WINDOWS\system32\rastls.dll --------- 113152
12.10.2009 15:51 C:\WINDOWS\system32\raschap.dll --------- 69632
11.09.2009 16:31 C:\WINDOWS\system32\msv1_0.dll --------- 133632
04.09.2009 22:45 C:\WINDOWS\system32\msasn1.dll --------- 58880
01.09.2009 16:32 C:\WINDOWS\system32\msaud32.acm --------- 282654
26.08.2009 10:14 C:\WINDOWS\system32\strmdll.dll --------- 247326
19.08.2009 17:07 C:\WINDOWS\system32\msxml6.dll --------- 1415000
14.08.2009 17:18 C:\WINDOWS\system32\win32k.sys --------- 1850240
06.08.2009 19:24 C:\WINDOWS\system32\wucltui.dll --------- 327896
06.08.2009 19:24 C:\WINDOWS\system32\wuaueng.dll.mui --------- 18144
06.08.2009 19:24 C:\WINDOWS\system32\wuapi.dll.mui --------- 15584
06.08.2009 19:24 C:\WINDOWS\system32\wuaucpl.cpl --------- 217816
06.08.2009 19:24 C:\WINDOWS\system32\wups.dll --------- 35552
06.08.2009 19:24 C:\WINDOWS\system32\wups2.dll --------- 44768
06.08.2009 19:24 C:\WINDOWS\system32\wuauclt.exe --------- 53472
06.08.2009 19:24 C:\WINDOWS\system32\cdm.dll --------- 96480
06.08.2009 19:24 C:\WINDOWS\system32\wuaucpl.cpl.mui --------- 15584
06.08.2009 19:24 C:\WINDOWS\system32\wucltui.dll.mui --------- 23264
06.08.2009 19:23 C:\WINDOWS\system32\wuapi.dll --------- 575704
06.08.2009 19:23 C:\WINDOWS\system32\wuaueng.dll --------- 1929952
06.08.2009 19:23 C:\WINDOWS\system32\wuweb.dll --------- 209624
05.08.2009 11:05 C:\WINDOWS\system32\mswebdvd.dll --------- 206336
31.07.2009 06:58 C:\WINDOWS\system32\msxml3.dll --------- 1172480
21.07.2009 00:05 C:\WINDOWS\system32\msxml4.dll --------- 1348432
17.07.2009 20:56 C:\WINDOWS\system32\atl.dll --------- 58880
17.07.2009 18:25 C:\WINDOWS\system32\query.dll --------- 1441792
13.07.2009 02:18 C:\WINDOWS\system32\wmpdxm.dll --------- 233472
25.06.2009 20:34 C:\WINDOWS\system32\mqtrig.dll --------- 186880
25.06.2009 20:34 C:\WINDOWS\system32\mqdscli.dll --------- 47104
25.06.2009 20:34 C:\WINDOWS\system32\mqise.dll --------- 16896
25.06.2009 20:34 C:\WINDOWS\system32\mqoa.dll --------- 225280
25.06.2009 20:34 C:\WINDOWS\system32\mqqm.dll --------- 661504
25.06.2009 20:34 C:\WINDOWS\system32\mqad.dll --------- 138240
25.06.2009 20:34 C:\WINDOWS\system32\mqutil.dll --------- 533504
25.06.2009 20:34 C:\WINDOWS\system32\mqsnap.dll --------- 517120
----------------------------------------
C:\WINDOWS\Prefetch
27.04.2010 13:05 C:\WINDOWS\Prefetch\CMD.EXE-034B0549.pf --------- 15104
27.04.2010 13:04 C:\WINDOWS\Prefetch\CCLEANER.EXE-17760B94.pf --------- 53064
27.04.2010 13:04 C:\WINDOWS\Prefetch\7ZG.EXE-3B8AF2E3.pf --------- 17408
27.04.2010 13:04 C:\WINDOWS\Prefetch\IGFXSRVC.EXE-1D88F978.pf --------- 49872
27.04.2010 13:03 C:\WINDOWS\Prefetch\WINWORD.EXE-1220CCA8.pf --------- 124468
27.04.2010 13:02 C:\WINDOWS\Prefetch\PFANNEN_UPDATE_R.EXE-01A81DBA.pf --------- 124310
27.04.2010 13:02 C:\WINDOWS\Prefetch\OUTLOOK.EXE-3639333C.pf --------- 9394
27.04.2010 13:01 C:\WINDOWS\Prefetch\ACROBAT_SL.EXE-3AC3EA4D.pf --------- 11606
27.04.2010 13:01 C:\WINDOWS\Prefetch\CTFMON.EXE-05E57A5E.pf --------- 14148
27.04.2010 13:01 C:\WINDOWS\Prefetch\TEATIMER.EXE-14B047BF.pf --------- 31774
27.04.2010 13:01 C:\WINDOWS\Prefetch\SMAX4PNP.EXE-0AFDE2F0.pf --------- 19364
27.04.2010 13:01 C:\WINDOWS\Prefetch\SCHEDHLP.EXE-2F4AADD8.pf --------- 10960
27.04.2010 13:01 C:\WINDOWS\Prefetch\OSS_REINSTALL.EXE-1E947E26.pf --------- 13698
27.04.2010 13:01 C:\WINDOWS\Prefetch\JUSCHED.EXE-3942B063.pf --------- 10062
27.04.2010 13:01 C:\WINDOWS\Prefetch\IGFXPERS.EXE-19DA7B04.pf --------- 10794
27.04.2010 13:01 C:\WINDOWS\Prefetch\HKCMD.EXE-0F06AE14.pf --------- 10384
27.04.2010 13:01 C:\WINDOWS\Prefetch\IMAPI.EXE-201490BB.pf --------- 17056
27.04.2010 13:01 C:\WINDOWS\Prefetch\IGFXTRAY.EXE-0A23D403.pf --------- 29642
27.04.2010 13:01 C:\WINDOWS\Prefetch\EXPLORER.EXE-02121B1A.pf --------- 100052
27.04.2010 13:01 C:\WINDOWS\Prefetch\USERINIT.EXE-0743FDA9.pf --------- 40040
27.04.2010 13:01 C:\WINDOWS\Prefetch\CNTAOSMGR.EXE-05C16A24.pf --------- 94710
27.04.2010 13:01 C:\WINDOWS\Prefetch\ALG.EXE-275708CF.pf --------- 52734
27.04.2010 13:01 C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 1256728
27.04.2010 12:57 C:\WINDOWS\Prefetch\AWREM32.EXE-354E6502.pf --------- 72178
27.04.2010 12:56 C:\WINDOWS\Prefetch\WINAW32.EXE-120EACB4.pf --------- 76604
27.04.2010 12:56 C:\WINDOWS\Prefetch\TASKMGR.EXE-06144C13.pf --------- 24470
27.04.2010 12:56 C:\WINDOWS\Prefetch\ACRODIST.EXE-15F20FA2.pf --------- 2792
27.04.2010 12:56 C:\WINDOWS\Prefetch\TRUEIMAGEMONITOR.EXE-1CA84A54.pf --------- 12254
27.04.2010 12:55 C:\WINDOWS\Prefetch\DAVCDATA.EXE-14FB80FC.pf --------- 11998
27.04.2010 12:55 C:\WINDOWS\Prefetch\RUNDLL32.EXE-51D80323.pf --------- 29968
27.04.2010 12:55 C:\WINDOWS\Prefetch\RUNDLL32.EXE-71E6BF7D.pf --------- 42152
27.04.2010 12:55 C:\WINDOWS\Prefetch\DLLHOST.EXE-474D72E6.pf --------- 83436
27.04.2010 12:55 C:\WINDOWS\Prefetch\IE4UINIT.EXE-046D13C9.pf --------- 38368
27.04.2010 12:55 C:\WINDOWS\Prefetch\RUNDLL32.EXE-73FEE585.pf --------- 17130
27.04.2010 12:55 C:\WINDOWS\Prefetch\MSIEXEC.EXE-330626DC.pf --------- 23962
27.04.2010 12:55 C:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf --------- 17372
27.04.2010 12:55 C:\WINDOWS\Prefetch\SHMGRATE.EXE-2DD3E4D8.pf --------- 21856
27.04.2010 12:55 C:\WINDOWS\Prefetch\SETUP50.EXE-0177D3B8.pf --------- 33046
27.04.2010 12:55 C:\WINDOWS\Prefetch\RUNDLL32.EXE-54650060.pf --------- 17590
27.04.2010 12:55 C:\WINDOWS\Prefetch\UNREGMP2.EXE-0CFB0619.pf --------- 14742
27.04.2010 12:55 C:\WINDOWS\Prefetch\RUNDLL32.EXE-6E074905.pf --------- 16056
27.04.2010 12:55 C:\WINDOWS\Prefetch\RUNDLL32.EXE-49E968F9.pf --------- 17348
27.04.2010 12:55 C:\WINDOWS\Prefetch\IEUDINIT.EXE-1E723E51.pf --------- 8182
27.04.2010 12:55 C:\WINDOWS\Prefetch\IZ5D97.EXE-181A0FFC.pf --------- 14042
27.04.2010 12:49 C:\WINDOWS\Prefetch\UEDIT32.EXE-0FC247FE.pf --------- 65640
27.04.2010 12:48 C:\WINDOWS\Prefetch\NOTEPAD.EXE-2F2D61E1.pf --------- 13488
27.04.2010 11:42 C:\WINDOWS\Prefetch\GMER.EXE-0D35692B.pf --------- 16270
27.04.2010 11:35 C:\WINDOWS\Prefetch\MSTSC.EXE-2A28D622.pf --------- 116460
27.04.2010 11:25 C:\WINDOWS\Prefetch\Layout.ini --------- 499542
27.04.2010 10:28 C:\WINDOWS\Prefetch\FSBL1067.EXE-0D7959A4.pf --------- 14626
27.04.2010 10:00 C:\WINDOWS\Prefetch\RUNDLL32.EXE-5A336057.pf --------- 14092
27.04.2010 09:59 C:\WINDOWS\Prefetch\WUAUCLT.EXE-1360D60A.pf --------- 23456
27.04.2010 09:29 C:\WINDOWS\Prefetch\PCCNTUPD.EXE-315A543B.pf --------- 7912
27.04.2010 09:29 C:\WINDOWS\Prefetch\XPUPG.EXE-36A723D9.pf --------- 12414
27.04.2010 09:28 C:\WINDOWS\Prefetch\TSC.EXE-24356832.pf --------- 64284
27.04.2010 09:20 C:\WINDOWS\Prefetch\IEXPLORE.EXE-360BBB5C.pf --------- 93038
27.04.2010 07:26 C:\WINDOWS\Prefetch\WMIPRVSE.EXE-0D449B4F.pf --------- 72610
27.04.2010 07:25 C:\WINDOWS\Prefetch\RUNDLL32.EXE-3DE4948B.pf --------- 29344
26.04.2010 14:39 C:\WINDOWS\Prefetch\SYMANTEC.EXE-3333ABE3.pf --------- 38504
26.04.2010 13:03 C:\WINDOWS\Prefetch\REGEDIT.EXE-2AE3423E.pf --------- 24540
26.04.2010 12:10 C:\WINDOWS\Prefetch\MBAM.EXE-325FAE38.pf --------- 62340
26.04.2010 12:10 C:\WINDOWS\Prefetch\PCCNT.EXE-0304BDAD.pf --------- 39528
26.04.2010 11:34 C:\WINDOWS\Prefetch\WMIAPSRV.EXE-02740A4B.pf --------- 18820
26.04.2010 11:34 C:\WINDOWS\Prefetch\VAI.PROCESSEXPLORERFORM.EXE-0E7EF1F5.pf --------- 75966
26.04.2010 11:33 C:\WINDOWS\Prefetch\PFANNEN.EXE-14BEAF03.pf --------- 40194
26.04.2010 11:23 C:\WINDOWS\Prefetch\HELPSVC.EXE-1C192440.pf --------- 114328
26.04.2010 09:11 C:\WINDOWS\Prefetch\PING.EXE-30F9CA9D.pf --------- 14034
26.04.2010 08:24 C:\WINDOWS\Prefetch\WGASETUP.EXE-0098D97F.pf --------- 27280
24.04.2010 14:53 C:\WINDOWS\Prefetch\DFRGNTFS.EXE-38C3807C.pf --------- 41360
24.04.2010 14:53 C:\WINDOWS\Prefetch\DEFRAG.EXE-2858C7E2.pf --------- 18896
----------------------------------------
C:\WINDOWS\Tasks
27.04.2010 13:00 C:\WINDOWS\Tasks\SA.DAT --------- 6
04.08.2004 16:00 C:\WINDOWS\Tasks\desktop.ini --------- 65
----------------------------------------
C:\WINDOWS\Temp
11.02.2009 17:17 C:\WINDOWS\Temp\HO94A.EXE --------- 296224
----------------------------------------
C:\DOKUME~1\xxx\LOKALE~1\Temp
27.04.2010 13:02 C:\DOKUME~1\xxx\LOKALE~1\Temp\~DFDF0F.tmp --------- 512
----------------------------------------
C:\Programme
27.04.2010 13:02 C:\Programme\PFANNEN --------- 0
27.04.2010 11:38 C:\Programme\gmer --------- 0
27.04.2010 10:28 C:\Programme\Blacklight --------- 0
22.04.2010 14:29 C:\Programme\Gemeinsame Dateien --------- 0
20.04.2010 08:55 C:\Programme\Internet Explorer --------- 0
20.04.2010 08:40 C:\Programme\Movie Maker --------- 0
20.04.2010 08:36 C:\Programme\MSXML 4.0 --------- 0
20.04.2010 08:26 C:\Programme\Outlook Express --------- 0
20.04.2010 08:22 C:\Programme\MSXML 6.0 --------- 0
20.04.2010 08:21 C:\Programme\Messenger --------- 0
19.04.2010 11:53 C:\Programme\Malwarebytes' Anti-Malware --------- 0
16.04.2010 11:53 C:\Programme\Trend Micro --------- 0
24.02.2010 10:00 C:\Programme\Incuity --------- 0
22.01.2010 12:13 C:\Programme\Blockguss --------- 0
27.01.2009 09:05 C:\Programme\VeryPDF PDF2Word v3.0 --------- 0
23.01.2009 13:20 C:\Programme\Adobe --------- 0
15.01.2009 16:43 C:\Programme\CUEcards 2000 --------- 0
04.12.2008 13:29 C:\Programme\LuckieDIPS --------- 0
01.12.2008 16:38 C:\Programme\AviSynth 2.5 --------- 0
01.12.2008 16:12 C:\Programme\USSF --------- 0
01.12.2008 16:09 C:\Programme\Orca --------- 0
01.12.2008 15:20 C:\Programme\Office Slipstreamer --------- 0
01.12.2008 14:58 C:\Programme\Windows Sidebar --------- 0
26.11.2008 11:08 C:\Programme\AutoPlay Menu Builder --------- 0
24.11.2008 12:51 C:\Programme\Tools&More --------- 0
24.10.2008 11:13 C:\Programme\InstallShield Installation Information --------- 0
20.10.2008 08:17 C:\Programme\Uninstall Information --------- 0
20.10.2008 08:17 C:\Programme\Microsoft SQL Server --------- 0
16.10.2008 09:52 C:\Programme\Syncrosoft --------- 0
08.10.2008 09:16 C:\Programme\ThouVis Demoversion --------- 0
22.11.2007 10:32 C:\Programme\Microsoft.NET --------- 0
22.11.2007 10:30 C:\Programme\Microsoft Device Emulator --------- 0
22.11.2007 10:30 C:\Programme\Microsoft SQL Server 2005 Mobile Edition --------- 0
22.11.2007 10:23 C:\Programme\MSBuild --------- 0
22.11.2007 10:16 C:\Programme\CE Remote Tools --------- 0
22.11.2007 10:14 C:\Programme\Microsoft Visual Studio 8 --------- 0
08.05.2007 14:06 C:\Programme\CLines4NG zu ArCon 2005 --------- 0
02.05.2007 08:56 C:\Programme\Microsoft Office --------- 0
26.04.2007 10:25 C:\Programme\Microsoft Office 2007 --------- 0
28.03.2007 09:59 C:\Programme\Java --------- 0
13.02.2007 14:30 C:\Programme\VAI --------- 0
27.12.2006 15:36 C:\Programme\Intel --------- 0
27.09.2006 16:47 C:\Programme\Quest Software --------- 0
14.09.2006 10:59 C:\Programme\Microsoft Visual Studio .NET --------- 0
14.09.2006 10:58 C:\Programme\Oracle --------- 0
27.04.2006 12:01 C:\Programme\HTML Help Workshop --------- 0
27.04.2006 11:56 C:\Programme\Microsoft ACT --------- 0
24.04.2006 10:51 C:\Programme\Nero --------- 0
18.04.2006 12:44 C:\Programme\Microsoft IntelliType Pro 5.5 --------- 0
18.04.2006 12:35 C:\Programme\Microsoft IntelliPoint 5.5 --------- 0
04.04.2006 09:52 C:\Programme\Interwise --------- 0
12.01.2006 15:53 C:\Programme\Symantec --------- 0
29.11.2005 06:19 C:\Programme\Broadcom --------- 0
29.11.2005 06:07 C:\Programme\Analog Devices --------- 0
13.08.2004 14:55 C:\Programme\microsoft frontpage --------- 0
13.08.2004 14:55 C:\Programme\xerox --------- 0
13.08.2004 14:53 C:\Programme\WindowsUpdate --------- 0
13.08.2004 14:53 C:\Programme\Online-Dienste --------- 0
13.08.2004 14:53 C:\Programme\NetMeeting --------- 0
13.08.2004 14:52 C:\Programme\ComPlus Applications --------- 0
13.08.2004 14:52 C:\Programme\Windows Media Player --------- 0
13.08.2004 14:51 C:\Programme\MSN Gaming Zone --------- 0
13.08.2004 14:51 C:\Programme\Windows NT --------- 0
13.08.2004 14:51 C:\Programme\MSN --------- 0
----------------------------------------
Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 236 K
smss.exe 716 Console 0 416 K
csrss.exe 764 Console 0 3.856 K
winlogon.exe 788 Console 0 2.640 K
services.exe 832 Console 0 4.240 K
lsass.exe 844 Console 0 7.608 K
svchost.exe 1052 Console 0 5.220 K
svchost.exe 1120 Console 0 4.356 K
svchost.exe 1208 Console 0 18.576 K
svchost.exe 1308 Console 0 3.548 K
svchost.exe 1368 Console 0 3.940 K
spoolsv.exe 1552 Console 0 6.156 K
svchost.exe 1624 Console 0 5.448 K
schedul2.exe 1688 Console 0 1.800 K
awhost32.exe 1724 Console 0 7.356 K
inetinfo.exe 1788 Console 0 10.448 K
mdm.exe 1828 Console 0 2.736 K
sqlservr.exe 1860 Console 0 1.248 K
NBService.exe 1932 Console 0 6.596 K
NMSAccessU.exe 2012 Console 0 1.804 K
NTRtScan.exe 2024 Console 0 15.896 K
NWC_SERVICE.EXE 2044 Console 0 2.664 K
svchost.exe 256 Console 0 2.864 K
svchost.exe 404 Console 0 4.156 K
TmListen.exe 708 Console 0 13.120 K
HO94A.EXE 1460 Console 0 2.644 K
alg.exe 2232 Console 0 3.488 K
CNTAoSMgr.exe 2888 Console 0 2.532 K
explorer.exe 3136 Console 0 32.400 K
hkcmd.exe 3236 Console 0 2.728 K
igfxpers.exe 3244 Console 0 2.820 K
smax4pnp.exe 3316 Console 0 4.516 K
jusched.exe 3332 Console 0 2.256 K
TrueImageMonitor.exe 3444 Console 0 3.208 K
schedhlp.exe 3460 Console 0 2.620 K
acrotray.exe 3592 Console 0 2.832 K
bgsmsnd.exe 3640 Console 0 2.764 K
PccNTMon.exe 3648 Console 0 8.940 K
TeaTimer.exe 3748 Console 0 43.100 K
ctfmon.exe 3756 Console 0 3.256 K
acrobat_sl.exe 3888 Console 0 2.720 K
OUTLOOK.EXE 3944 Console 0 29.572 K
WINWORD.EXE 3728 Console 0 23.020 K
Pfannen_Update_r.exe 3928 Console 0 19.028 K
cmd.exe 2636 Console 0 2.284 K
tasklist.exe 3976 Console 0 4.492 K
wmiprvse.exe 4004 Console 0 5.684 K
***** Ende des Scans 27.04.2010 um 13:05:47,17 ***
Und ich glaube es wurde noch was gefunden!! Gruß |
|
27.04.2010, 13:32
| #38 |
| | Worm_downad.ad ? Auch OSAM findet jetzt wieder was wenn Virenscanner und alle Netzwerkverbindungen deaktiviert sind! Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 14:18:08 on 27.04.2010 OS: Windows XP Professional Service Pack 2 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "BACSCPL.cpl" - ? - C:\WINDOWS\system32\BACSCPL.cpl "jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl "pmxusb.cpl" - ? - C:\WINDOWS\system32\pmxusb.cpl (File found, but it contains no detailed information) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "AC3 Filter" - ? - D:\Programme\TTPack\AC3\ac3filter.cpl "QuickTime" - "Apple Computer, Inc." - D:\Programme\TTPack\QTLite\QuickTime.cpl "SYMLIVE" - "Symantec Corporation" - C:\Programme\Symantec\LiveUpdate\S32LUCP1.CPL [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ACEDRV07" (ACEDRV07) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\ACEDRV07.sys "Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys "Acronis TrueImage Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys "Acronis TrueImage FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys "AVM Bluetooth Audio Driver" (AVMBTSND) - "AVM GmbH" - C:\WINDOWS\System32\drivers\avmbtsnd.sys "AVM Bluetooth CAPI-Controller" (CAPI_CIP) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\capi_cip.sys "AVM Bluetooth Druckeranschluss" (AVMBTPARALLEL) - "AVM GmbH" - C:\WINDOWS\System32\DRIVERS\avmbtpar.sys "AVM Bluetooth Kommunikationsanschluss" (AVMBTSERIAL) - "AVM GmbH" - C:\WINDOWS\System32\DRIVERS\avmbtser.sys "AVM Bluetooth Netzwerkadapter" (NETBFPAN) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\netbfpan.sys "AVM ISDN CoNDIS WAN CAPI Treiber" (AVMCOWAN) - "AVM GmbH" - C:\WINDOWS\System32\DRIVERS\avmcowan.sys "awecho" (awecho) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\awechomd.sys "awlegacy" (awlegacy) - "Symantec Corporation" - C:\WINDOWS\System32\Drivers\awlegacy.sys "AW_HOST" (AW_HOST) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\aw_host5.sys "BlueFRITZ! USB 2.5(WinXP/2000)" (bfhubase) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\bfhubase.sys "catchme" (catchme) - ? - C:\DOKUME~1\xxxa.STW\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Gernuwa" (Gernuwa) - "Symantec Corporation" - C:\WINDOWS\system32\drivers\Gernuwa.sys "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "Nokia USB Generic" (Nokia USB Generic) - ? - C:\WINDOWS\System32\drivers\nmwcdc.sys (File not found) "Nokia USB Modem" (Nokia USB Modem) - ? - C:\WINDOWS\System32\drivers\nmwcdcm.sys (File not found) "Nokia USB Phone Parent" (Nokia USB Phone Parent) - ? - C:\WINDOWS\System32\drivers\nmwcd.sys (File not found) "Nokia USB Port" (Nokia USB Port) - ? - C:\WINDOWS\System32\drivers\nmwcdcj.sys (File not found) "Nsynas32" (Nsynas32) - "Syncrosoft Hard- und Software GmbH" - C:\WINDOWS\system32\drivers\Nsynas32.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys (File signed by Microsoft | File found, but it contains no detailed information) "SymEvent" (SymEvent) - "Symantec Corporation" - C:\Programme\Symantec\SYMEVENT.SYS "SynasUSB" (SynasUSB) - "SIA Syncrosoft" - C:\WINDOWS\System32\drivers\SynasUSB.sys "tmcomm" (tmcomm) - "Trend Micro Inc." - C:\WINDOWS\system32\drivers\tmcomm.sys "Trend Micro Filter" (TmFilter) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmXPFlt.sys "Trend Micro PreFilter" (TmPreFilter) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmPreFlt.sys "Trend Micro VSAPI NT" (VSApiNt) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\VSApiNt.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\pkmcdo.dll {9DE24BAC-FC3C-42c4-9FC4-76B3FAFDBD90} "Quest RevNet Protocol" - ? - C:\PROGRA~1\QUESTS~1\SQLNAV~1\RNetPin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - D:\Programme\7-Zip\7-zip.dll {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - D:\Programme\Adobe Acrobat\Acrobat Elements\ContextMenu.dll {D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - D:\Programme\Microsoft Office\Visio10\VisShe.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - D:\Programme\Microsoft Office\Visio10\VisShe.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - D:\Nero\Nero 9\Nero CoverDesigner\CoverEdExtension.dll {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL InCDShellExt extension "{CAE3251E-9B15-4810-B268-852AD9792A59}" - ? - (File not found | COM-object registry key not found) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "pdfMachine" - "Broadgun Software" - C:\WINDOWS\system32\bgstb.dll -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {4FDF3696-5078-4952-868C-CEEB9683B8C4} "DownloadFile Control" - ? - C:\WINDOWS\DOWNLO~1\Download.ocx / hxxp://192.168.10.31/cab/DownloadFile.cab {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.5.0" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / https://st-entw1:2607/jre-1_5_0_06-windows-i586-p.exe {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {7D30109B-DD2B-4339-BE80-1CD48723C2BC} "LiveX(v6.0.1.0)" - ? - C:\WINDOWS\DOWNLO~1\LiveX.ocx / hxxp://192.168.10.31/cab/Live.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {182EC0BE-5110-49C8-A062-BEB1D02A220B} "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll "Knowledge Base" - ? - hxxp://support.microsoft.com/ (HTTP value) {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll <binary data> "pdfMachine" - "Broadgun Software" - C:\WINDOWS\system32\bgstb.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {AE7CD045-E861-484f-8273-0445EE161910} "AcroIEToolbarHelper Class" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {56CF4856-ECB4-4e46-A897-A378821F97B9} "pdfMachine" - "Broadgun Software" - C:\WINDOWS\system32\bgstb.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [LSA Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )----- "Authentication packages" - "Acronis" - C:\WINDOWS\system32\relog_ap.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Adobe Acrobat - Schnellstart.lnk" - "Adobe Systems Incorporated" - D:\Programme\Adobe Acrobat\Acrobat\acrobat_sl.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\xxxa.STW\Startmenü\Programme\Autostart\desktop.ini "Microsoft Office Outlook 2003.lnk" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE (Shortcut exists | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "SpybotSD TeaTimer" - "Safer Networking Limited" - D:\Programme\Spybot - Search & Destroy\TeaTimer.exe -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Acrobat Assistant 7.0" - "Adobe Systems Inc." - "D:\Programme\Adobe Acrobat\Distillr\Acrotray.exe" "Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" "bgsmsnd.exe" - "Broadgun Software" - C:\WINDOWS\system32\bgsmsnd.exe "OfficeScanNT Monitor" - "Trend Micro Inc." - "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow "OSSelectorReinstall" - ? - C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe (File found, but it contains no detailed information) "Pfannenupdate" - "Georgsmarienhuette GmbH" - c:\Programme\PFANNEN\Pfannen_Update.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\jusched.exe "TrueImageMonitor.exe" - "Acronis" - D:\Programme\Acronis\True Image 9.0\TrueImageMonitor.exe [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll "pcAnywhere Remote Printing" - "Symantec Corporation" - C:\WINDOWS\system32\awmon.dll "PDF Port Monitor" - ? - C:\WINDOWS\system32\bgspmnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe "Adobe LM Service" (Adobe LM Service) - "Adobe Systems" - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Config Universal" (tgtfckks) - ? - C:\WINDOWS\system32\dlzlnti.dll (Hidden registry entry, rootkit activity | File found, but it contains no detailed information) "Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe "Nero BackItUp Scheduler 4.0" (Nero BackItUp Scheduler 4.0) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe "NMSAccessU" (NMSAccessU) - ? - D:\Programme\CDBurnerXP\NMSAccessU.exe (File found, but it contains no detailed information) "NWC Service" (NWC_Service) - ? - C:\NWC\NWC_SERVICE.EXE (File found, but it contains no detailed information) "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "OfficeScan NT Listener" (tmlisten) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe "OfficeScan NT Proxy Service" (TmProxy) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe "OfficeScanNT RealTime Scan" (ntrtscan) - "Trend Micro Inc." - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe "pcAnywhere Host-Modul" (awhost32) - "Symantec Corporation" - D:\Programme\Symantec\PCAnywhere\awhost32.exe "Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\hpzipm12.dll "SolidWorks Licensing Service" (SolidWorks Licensing Service) - "SolidWorks" - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe "SQL Server (SQLEXPRESS)" (MSSQL$SQLEXPRESS) - "Microsoft Corporation" - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe "SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- (Disabled) "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "PCANotify" - "Symantec Corporation" - C:\WINDOWS\system32\PCANotify.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
|
27.04.2010, 13:35
| #39 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ? Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete:
C:\WINDOWS\system32\dlzlnti.dll
drivers to delete:
tgtfckks
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.04.2010, 13:56
| #40 |
| | Worm_downad.ad ? Log: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\dlzlnti.dll" deleted successfully.
Driver "tgtfckks" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
hxxp://www.file-upload.net/download-2469778/backup.zip.html gruß |
|
30.04.2010, 06:40
| #42 |
| | Worm_downad.ad ? Guten Morgen, hier das aktuelle Log: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-30 07:04:41
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pfryqaoc.sys
---- Kernel code sections - GMER 1.0.15 ----
? olxvh.sys Das System kann die angegebene Datei nicht finden. !
init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xB98C3F80]
.text C:\WINDOWS\system32\drivers\ACEDRV07.sys section is writeable [0xA8628000, 0x328BA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV07.sys entry point in ".pklstb" section [0xA866C000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV07.sys unknown last section [0xA8688000, 0x8E, 0x42000040]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!CreateWindowExW 77D21AD5 5 Bytes JMP 4126DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!DialogBoxParamW 77D26702 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!DialogBoxParamA 77D288E1 5 Bytes JMP 413646DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!DialogBoxIndirectParamW 77D32598 5 Bytes JMP 4136473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!MessageBoxIndirectA 77D3AEF1 5 Bytes JMP 41364671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!MessageBoxExW 77D50559 5 Bytes JMP 41364542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!MessageBoxExA 77D5057D 5 Bytes JMP 413645A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!DialogBoxIndirectParamA 77D56CED 5 Bytes JMP 413647A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2596] USER32.dll!MessageBoxIndirectW 77D660B7 5 Bytes JMP 41364606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!CallNextHookEx 77D1ED6E 5 Bytes JMP 4125D101 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!CreateWindowExW 77D21AD5 5 Bytes JMP 4126DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!DialogBoxParamW 77D26702 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!DialogBoxParamA 77D288E1 5 Bytes JMP 413646DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!DialogBoxIndirectParamW 77D32598 5 Bytes JMP 4136473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!MessageBoxIndirectA 77D3AEF1 5 Bytes JMP 41364671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!SetWindowsHookExW 77D3E621 5 Bytes JMP 41269A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!UnhookWindowsHookEx 77D3F29F 5 Bytes JMP 411D466E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!MessageBoxExW 77D50559 5 Bytes JMP 41364542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!MessageBoxExA 77D5057D 5 Bytes JMP 413645A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!DialogBoxIndirectParamA 77D56CED 5 Bytes JMP 413647A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] USER32.dll!MessageBoxIndirectW 77D660B7 5 Bytes JMP 41364606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] ole32.dll!OleLoadFromStream 774E8C62 5 Bytes JMP 41364AA7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2776] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 4126DB20 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Programme\Internet Explorer\iexplore.exe[2776] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \FileSystem\Fastfat \Fat TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
---- Threads - GMER 1.0.15 ----
Thread System [4:1036] A8825037
Thread System [4:1040] A8825037
Thread System [4:1044] A8825037
Thread System [4:1048] A8825460
Thread System [4:1052] A86B96D4
Thread System [4:1056] A86B96D4
Thread System [4:1060] A86B96D4
Thread System [4:1064] A86B9C32
Thread System [4:500] A7FEA0E2
Thread System [4:504] A7FEA0E2
Thread System [4:508] A7FEA0E2
Thread System [4:512] A7FEA0E2
Thread System [4:516] A7FEA0E2
Thread System [4:520] A7FEA0E2
Thread System [4:524] A7FEA0E2
Thread System [4:528] A7FEA0E2
Thread System [4:532] A7FEA0E2
Thread System [4:1192] A86BC80E
Thread System [4:1300] A86BC794
Thread System [4:1304] A86BC794
Thread System [4:1308] A86BC794
Thread System [4:1256] A86BC794
Thread System [4:1316] A86BC794
Thread System [4:1320] A86BC794
Thread System [4:1328] A86BC794
Thread System [4:1332] A86BC794
Thread System [4:1336] A86BC794
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\68AB67CA3301004F7706000000000020\Usage@PDFMakerForIE 1016796176
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@Class 0x8C 0x87 0x5C 0x85 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@Class 0xEF 0xFC 0xDA 0x4C ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@Class 0x11 0x8E 0xB4 0xC6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@Class 0x06 0xC0 0xA7 0x84 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@Class 0x0D 0xD8 0xD0 0xDC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@Class 0xE1 0x62 0x26 0x42 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@Class 0x32 0xD0 0x64 0x76 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@Class 0x67 0xCF 0x1B 0x7A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@Class 0x85 0xC4 0x93 0x0E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@Class 0x7F 0xEC 0x7B 0x87 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@Class 0x95 0xA6 0x39 0xC9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@Class 0x43 0xB9 0x8E 0x70 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@Class 0x71 0xCE 0x04 0x64 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@Class 0x10 0xBB 0xE2 0x52 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit@FindFlags 14
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites
---- EOF - GMER 1.0.15 ----
Wie soll ich auf den anderen System jetzt grundsätzlich vorgehen? Gruß Der Virenscanner hat jetzt gerade die dlzlnti.dll wieder angezeigt mache nochmal ein Scan mit Gmer!!!! Geändert von Snewi (30.04.2010 um 06:46 Uhr) |
|
30.04.2010, 07:56
| #43 |
| | Worm_downad.ad ? Hier das aktuelle Log: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-30 08:44:45
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pfryqaoc.sys
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xB98A0F80]
.text C:\WINDOWS\system32\drivers\ACEDRV07.sys section is writeable [0xA862D000, 0x328BA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV07.sys entry point in ".pklstb" section [0xA8671000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV07.sys unknown last section [0xA868D000, 0x8E, 0x42000040]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \FileSystem\Fastfat \Fat TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet003\Services\csdsbg@DisplayName bvcmk
Reg HKLM\SYSTEM\ControlSet003\Services\csdsbg@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\csdsbg@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\csdsbg@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\csdsbg@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\csdsbg@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\csdsbg@Description Transportiert E-Mail ?ber das Netzwerk
Reg HKLM\SYSTEM\ControlSet003\Services\csdsbg\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\csdsbg\Parameters@ServiceDll C:\WINDOWS\system32\dlzlnti.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@Class 0x8C 0x87 0x5C 0x85 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@Class 0xEF 0xFC 0xDA 0x4C ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-184a-50b6-2c78fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@Class 0x11 0x8E 0xB4 0xC6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@Class 0x06 0xC0 0xA7 0x84 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-2fc9-b4bb-1ac9fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@Class 0x0D 0xD8 0xD0 0xDC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@Class 0xE1 0x62 0x26 0x42 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-3ad1-9ddf-e8a8fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@Class 0x32 0xD0 0x64 0x76 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@Class 0x67 0xCF 0x1B 0x7A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-49a9-aa06-6539fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@Class 0x85 0xC4 0x93 0x0E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@Class 0x7F 0xEC 0x7B 0x87 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-c0d0-3304-515dfa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@Class 0x95 0xA6 0x39 0xC9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@Class 0x43 0xB9 0x8E 0x70 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e005-787e-4b91fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@Class 0x71 0xCE 0x04 0x64 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa5d8d9f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@Class 0x10 0xBB 0xE2 0x52 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ea61-1640-31a6fa79961f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit@FindFlags 14
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites
---- EOF - GMER 1.0.15 ----
Geändert von Snewi (30.04.2010 um 08:11 Uhr) |
|
30.04.2010, 11:10
| #44 |
| | Worm_downad.ad ? Hier nochmal ein Log von einem anderen Client Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-30 11:14:01
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ufdyypog.sys
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xA9EDCA00]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet002\Services\oznekhc@DisplayName Update Windows
Reg HKLM\SYSTEM\ControlSet002\Services\oznekhc@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\oznekhc@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\oznekhc@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\oznekhc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\oznekhc@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\oznekhc@Description Erm?glicht Windows-basierten Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu ver?ndern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verf?gung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen.
Reg HKLM\SYSTEM\ControlSet002\Services\oznekhc\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\oznekhc\Parameters@ServiceDll C:\Programme\Internet Explorer\mepibcf.dll
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt@DisplayName Update Universal
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt@Description Stellt die Designverwaltung zur Verf?gung.
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\yjanvurt\Parameters@ServiceDll C:\WINDOWS\system32\mepibcf.dll
---- EOF - GMER 1.0.15 ----
Gruß |
|
30.04.2010, 13:49
| #45 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Worm_downad.ad ?Zitat:
Zitat:
Avenger musst Du mit so einem Script füttern (Dienstname ist der name des bösen Dienstes zB die obigen rot fett gedruckten) Und wenn es nicht in CurrentControlSet ist, sollte man auch die anderen löschen per registry keys to delete Und ggf. noch verknüpfte Dateien löschen, zB C:\Programme\Internet Explorer\mepibcf.dll die dort als Dienst-DLL eingetragen ist Code:
ATTFilter drivers to delete:
dienstname1
dienstname1.sys
dienstname2
dienstname2.sys
registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\dienstname1
HKLM\SYSTEM\ControlSet002\Services\dienstname2
files to delete:
C:\Programme\Internet Explorer\mepibcf.dll
Ich würde hier aber nicht mehr von einer Bereinigung sprechen, die keinen großen Aufwand erfordert. Ich würde einen Rechner neu aufsetzen mit einer Grundinstallation, ein Image erstellen und das auf alle anderen Rechner verteilen.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Worm_downad.ad ? |
| alarm, befallen, bezüglich, c:\windows, einträge, entfernen, fehlermeldungen, hartnäckigen, hijack, hijackthis, malwarebytes, neuste, scan, scanner, schlägt, server, system, system32, systeme, tools, virenscan, virenscanner, windows, worm, wurm |
Linear-Darstellung
